Jump to content

Jordan_Tsafaridis

Members
 View Profile  See their activity

  • Posts

    106

  • Joined

  • Last visited

 Content Type 

Blog Entries posted by Jordan_Tsafaridis

  1. Jordan_Tsafaridis
    ΣΕ
    ΔΙΑΓΩΝΙΣΜΟ ΠΟΥ ΕΓΙΝΕ ΕΔΕΙΞΑΝ ΟΤΙ ΔΕΝ ΠΡΟΣΤΑΤΕΥΟΥΝ ΟΣΟ ΥΠΟΣΧΟΝΤΑΙ

    Τα
    προγράμματα κατά των ιών δεν είναι και τόσο αποτελεσματικά
     

    ΔΗΜΟΣΙΕΥΘΗΚΕ: Σάββατο 15 Μαΐου 2010
    Σ΄ έναν διαγωνισμό που οργανώθηκε το περασμένο Σαββατοκύριακο στο Παρίσι, 15 προγράμματα κατά των ιών των ηλεκτρονικών υπολογιστών υποβλήθηκαν σε επτά
    επιθέσεις οργανωμένες από φοιτητές και ειδικούς σε θέματα ασφάλειας των Η/Υ.
    Κανένα λογισμικό δεν κατάφερε να εμποδίσει περισσότερες από δύο.
     
    Ο
    διαγωνισμός «ΡWΝ2ΚΙLL» έδειξε ότι πρέπει να αμφιβάλλουμε για την
    αποτελεσματικότητα των προγραμμάτων κατά των ηλεκτρονικών που διαφημίζουν οι
    κατασκευαστές τους. Κανένα από τα 15 αντιιικά προγράμματα που κυκλοφορούν στην
    αγορά δεν μπόρεσε να εμποδίσει περισσότερες από δύο στις επτά επιθέσεις που
    έγιναν σε υπολογιστές εφοδιασμένους με Windows 7. Επτά υποψήφιοι, οι
    περισσότεροι από τους οποίους ήταν φοιτητές της Πληροφορικής, διέθεταν
    συνηθισμένα ΡC στα οποία είχαν συνδεθεί 15 εικονικά ΡC, καθένα από τα οποία ήταν
    εφοδιασμένο μ΄ ένα διαφορετικό λογισμικό ασφαλείας από αυτά της αγοράς. Τα
    «κακόβουλα» προγράμματα, οι ιοί που δημιουργήθηκαν από τον κάθε υποψήφιο,
    αντιγράφηκαν σε κάθε εικονική συσκευή. Από τους επτά υποψηφίους, μόνον ένας είδε
    τον ιό του να μπλοκάρεται από όλα τα αντιιικά προγράμματα (τα πλήρη αποτελέσματα
    δημοσιεύονται στη διεύθυνση : http://www.esiea-recherche.eu/data/iawacs2010/pwn2kill/pwn2killdebrief.pdf ).
     
    Εκτός μάχης. Για τον Ερίκ Φιλιόλ,
    διευθυντή έρευνας της ΕSΙΕΑ (Ανώτερη Σχολή Πληροφορικής, Ηλεκτρονικής και
    Αυτοματισμού), «όλα τα προγράμματα κατά των ιών είναι εξίσου αναποτελεσματικά.
    Τα αποτελέσματα του διαγωνισμού αποδεικνύουν πως ο εντοπισμός της «υπογραφής»
    του ιού δεν είναι πλέον αρκετή. Το πιο ανησυχητικό είναι πως, σε μια κλίμακα από
    το 1 ώς το 10, το μέσο τεχνικό επίπεδο των επιθέσεων βρισκόταν περίπου στο 4. Αν
    οι επιθέσεις ήταν ακόμη πιο περίπλοκες, το αποτέλεσμα θα ήταν ακόμη πιο
    καταστροφικό. Και υπήρξε άλλη μια ανησυχητική διαπίστωση: μία από τις επιθέσεις
    βασιζόταν σ΄ έναν ιό των τριών γραμμών, ο οποίος εμφανίστηκε πριν από 10 χρόνια
    και υπάρχει στο ΥouΤube. Ομως έθεσε εκτός μάχης όλα τα αντιιικά προγράμματα!».
     
     
    Παρά τον πολύ αρνητικό αυτό απολογισμό, η εγκατάσταση προγράμματος κατά
    των ιών παραμένει αναγκαία.
     
     
     
  2. Jordan_Tsafaridis
    Αγαπητοί Συνάδελφοι της κοινότητας του autoexec,
     
    με το παρόν άρθρο θα ήθελα να δώσω την δυνατότητα πρόσβασης σε ένα πολύ χρήσιμο εργαλείο για όλους εμάς που ασχολούμαστε επαγγελματικά με την τεχνολογία του Active Directory. Στο link το οποίο παρατίθεται παρακάτω, επισυνάπτεται σε μορφή αρχείου Adobe Acrobat PDF, ένας οδηγός ο οποίος περιλαμβάνει όλα τα πλέον χρησιμοποιούμενα PowerShell cmdlets για το Active Directory στον Windows Server 2008 R2. Άλλωστε πόσες φορές έχουμε βρεθεί σε κάποιο κρίσιμο σημείο μιας εγκατάστασης κατά το οποίο δεν θυμόμαστε κάποια απλή εντολή. Εδώ πιστεύω ότι βρίσκεται η χρησιμότητα του συγκεκριμένου οδηγού.
     
    Ο σύνδεσμος στο διαδίκτυο είναι ο παρακάτω :
     
    http://www.jonathanmedd.net/wp-content/uploads/2009/10/ADPowerShell_QuickReference.pdf
     
    Ελπίζω ότι θα τον βρείτε ιδιαιτέρως χρήσιμο.
     
     
  3. Jordan_Tsafaridis
    Αν και αρχικώς τα συγκεκριμένα Vulnerabilities είχαν εντοπιστεί στις 5 Μαρτίου 2011, εντούτοις μια προσεκτική ανάλυση από την ομάδα ασφαλείας του FortiNet Security Blog, κατέδειξε την επικυνδυνότητά τους. Παρακάτω σας παραθέτω το πρωτότυπο κείμενο στην Αγγλική γλώσσα προς μελέτη.
     


    We are pretty busy these days with malicious samples on Android. You probably haven’t missed DroidDream (Android/DrdDream.A!tr) which trojaned several applications on the Android Market and several blog posts on the matter:

    Lookout explains how the malware was discovered, which applications it targets
    and whether you should be concerned or not. By the way, we thank them
    for sharing samples with us.
    AndroidPolice explains the malware uses the rageagainstthecage root exploit, and that
    malicious applications have been pulled out of the market
    Kaspersky reminds the dark sides of the Android Market and iPhone jailbreaking AegisLab explains the malware uses JNI and collects /proc information (the
    sample they analyze is slightly different from the one we refer to in
    this post).

    But there are still a few additional questions – that I intend to cover in this blog post.

    DroidDream does not use ONE vulnerability but TWO

    In the sample we analyzed, those files are located in the asset directory of the package:

    $ ls -al -rw-r--r-- 1 axelle users 15295 Jan 14 11:04 exploid
    -rw-r--r-- 1 axelle users 3868 Jan 14 11:04 profile
    -rw-r--r-- 1 axelle users 5392 Jan 14 11:04 rageagainstthecage
    -rw-r--r-- 1 axelle users 14076 Feb 15 14:59 sqlite.db
    drwxr-xr-x 4 axelle users 4096 Mar 2 11:04 www


    exploid corresponds to this local root exploit, and it is tried in case rageagainstthecage
    does not work. The idea behind rageagainstthecage create many
    processes, reach the maximum limit of user processes, so that the next
    time the adbd process is run it cannot surrender its root permissions.
    Both files are local root privilege escalation exploits. Below, the logs
    show exploid was called but failed on my android emulator:

    W/System.err( 246): java.io.IOException: Error running exec(). Commands: [/data/data/com.droiddream.bowlingtime/files/exploid,
    /dev/block/mtdblock1, yaffs2] Working Directory: null Environment: null
    D/AudioSink( 31): bufferCount (4) is too small and increased to 12
    W/MediaPlayer( 240): info/warning (1, 44)
    W/System.err( 246): at java.lang.ProcessManager.exec(ProcessManager.java:196)
    W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:225)
    W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:313)
    W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:246)
    W/System.err( 246): at com.android.root.udevRoot.runExploid(udevRoot.java:134)
    W/System.err( 246): at com.android.root.udevRoot.go4root(udevRoot.java:230)
    W/System.err( 246): at com.android.root.Setting.onCreate(Setting.java:265)


    profile is a shell – we will talk about this one later.
    sqlite.db actually isn’t a SQLite database but an Android package named
    com.android.providers.downloadsmanager the malware will install on the
    infected device. Finally the www directory contains the real assets
    (images) used by the real foreground application (e.g bowling game).

    DroidDream posts the victim’s IMEI, IMSI etc – but no need to root a phone to do that

    One of the first things the malware does is post the phone’s IMEI,
    IMSI, Android version to a remote website whose URL is XOR encrypted.
    The key is hard-coded in another class, named Setting.class. A little
    bit of Java decompiling and copy/paste in a quick n’ dirty standalone
    program, and we decrypt the URL:





    The information is posted (HTTP POST) using the XML format:

    <?xml version="1.0" encoding="UTF-8"?> <Request>
    <Protocol>1.0</Protocol>
    <Command>0</Command>
    <ClientInfo>
    <Partner>502</Partner>
    <ProductId>10011</ProductId>
    <IMEI>YOUR IMEI</IMEI>
    <IMSI>YOUR IMSI</IMSI>
    <Modle>YOUR DEVICE SDK</Modle>
    </ClientInfo>
    </Request>


    Posting the IMEI, IMSI etc is not the real goal of the malware, since
    you do not need to root the phone for that, but only the
    READ_PHONE_STATE permission.

    A r00t shell – that’s awesome (from a malware author’s perspective! )

    It seems that what the malware author really wanted to install is the
    profile binary (see above, in the assets directory). Once the phone is
    rooted, the malware copies profile to /system/bin/profile and sets root
    permissions to the file:

    chown 0.0 /system/bin/profile chown root.root /system/bin/profile
    chmod 6755 /system/bin/profile


    Actually, the /system/bin/profile file also acts as an r00ted
    indicator: if the file exists, the phone has been rooted, if not, the
    malware tries to root the phone. So, as a quick hack, some developers
    suggest to create a dummy /system/bin/profile on your phone and be
    immune to the malware (more exactly the malware won’t be able to
    operate).


     
    A quick analysis of profile with a disassembler shows this executable
    merely does a setgid, then a setuid, and finally executes (excv) a
    shell. The malware author installed a root shell on the infected device.
    But so far, this shell is not used remotely.
     
    To me, it looks more like the work of a (dark) hacker than what
    cyber-criminals usually do. Unless the next step is to download a
    malware upgrade (via the downloads manager package) and monetize this
    root shell…

    Thanks to David Maciejak for his help on Android vulnerabilities.

    – the Crypto Girl

     
     

    Author bio:
    Axelle Apvrille's initial field of expertise is cryptology, security
    protocols and OS. She is a senior antivirus analyst and researcher for
    Fortinet, where she more specifically looks into mobile malware.
    Ελπίζω ότι θα το βρείτε ιδιαίτερα χρήσιμο.
     
     
  4. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, πριν από λίγες ώρες επθβεβαιώθηκε ένα bug στο Service Pack 2 (SP2) του Forefront TMG 2010 το οποίο αρχικά διαγνώσθηκε από τον Jason Jones. Εάν για κάποιο λόγο έχουμε διαγράψει τον default Internet Access network rule και τον έχουμε αντικαταστήσει με κάτι άλλο, τότε εγκαθιστώντας το SP2 του Forefront TMG 2010 μυστηριωδώς ο εγκαταστάτης επαναφέρει (restores) αυτόν το κανόνα. Δυστυχώς τοποθετεί τον default Internet Access rule πάνω από τον custom rule
    τον οποίο έχουμε δημιουργήσει με αποτέλεσμα στις περισσότερες περιπτώσεις να προξενούνται σοβαρά προβλήματα στην ομαλή λειτουργία του TMG. Το συγκεκριμένο bug επηρεάζει μόνον εκείνα τα Forefront TMG 2010 configurations στα οποία ο default Internet Access
    network rule έχει για κάποιους ειδικούς λόγους διαγραφεί. Εάν όμως έχετε απλώς αλλάξει (altered) τον συγκεκριμένο κανόνα, τότε αυτές οι αλλαγές παραμένουν ως έχουν.

    Πριν από την εγκατάσταση του Forefront TMG SP2…



    Μετά από την εγκατάσταση του Forefront TMG SP2…


    Ελπίζω ότι θα το βρείτε ιδιαίτερα χρήσιμο.

  5. Jordan_Tsafaridis
    Ένα νέο πρόβλημα δημοσιεύτηκε στην ιστοσελίδα Vupen Security (http://www.vupen.com/english/advisories/2011/1162), και αφορά ένα σημαντικό κενό ασφάλειας το οποίο ανιχνεύθηκε στα προϊόντα της CheckPoint. Το αυθεντικό κείμενο παρουσιάζεται παρακάτω :
     

    VUPEN ID

    VUPEN/ADV-2011-1162


    CVE ID


    CVE-2011-1827

     


    CWE ID

    Available in Customer Area



    CVSS V2

    Available in Customer Area


    Rated as


    Critical 



    Impact

    Available in Customer Area




    Authentication Level

    Available in Customer Area




    Access Vector

    Available in Customer Area


    Release Date

    2011-05-03


    Share

















    Technical Description
    A vulnerability has been
    identified in Check Point products, which could be exploited by remote
    attackers to compromise a vulnerable system. This issue is caused by an
    error in the SSL Network Extender (SNX), SecureWorkSpace and Endpoint
    Security On-Demand application when deployed through a browser, which
    could allow attackers to execute arbitrary code by tricking a user into
    visiting a specially crafted web page.
     




    Affected Products Check Point SecurePlatform

    Check Point IPSO6

    Check Point Connectra

    Check Point VSX
     



    Solution 
    Apply patches :
     
    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410
     



    References  
     
    http://www.vupen.com/english/advisories/2011/1162
    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410
     



    Credits   
     
    Vulnerability reported by Johannes Greil (SEC Consult).
     



    Changelog   
     
    2011-05-03 : Initial release

     
  6. Jordan_Tsafaridis
    Όταν είναι απαραίτητο να προχωρήσουμε στην απεγκατάσταση ή στην επανεγκατάσταση (remove or reinstall) ενός Exchange Server 2010 server role τότε είναι πολύ πιθανόν να αντιμετωπίσουμε τα παρακάτω λάθος.




    The following error was generated when “$error.Clear();
    uninstall-MsiPackage -PackagePath ($RoleInstallPath +
    “Mailbox\MSFTE.MSI”) -LogFile ($RoleSetupLoggingPath +
    “\InstallSearch.msilog”)” was run: “Couldn’t open package ‘C:\Program
    Files\Microsoft\Exchange Server\V14\Mailbox\MSFTE.MSI’. Another version
    of this product is already installed. Installation of this version
    cannot continue. To configure or remove the existing version of this
    product, use Add/Remove Programs on the Control Panel. Error code is
    1638.”.

    Couldn’t open package ‘C:\Program Files\Microsoft\Exchange
    Server\V14\Mailbox\MSFTE.MSI’. Another version of this product is
    already installed. Installation of this version cannot continue. To
    configure or remove the existing version of this product, use Add/Remove
    Programs on the Control Panel. Error code is 1638.

    Another version of this product is already installed. Installation of
    this version cannot continue. To configure or remove the existing
    version of this product, use Add/Remove Programs on the Control Panel

    Το λάθος αυτό μπορεί να οφείλεται σε μια σειρά από διαφορετικούς λόγους, και συνεπώς για την επίλυσή του μπορεί να υποχρεωθούμε να δοκιμάσουμε περισσότερες της μιας λύσεις.

    Η πιο γρήγορη λύση είναι να δοκιμάσουμε να επισκευάσουμε την Microsoft Full Text Indexing Engine for Exchange.  Στο Control Panel -> Uninstall a Program επιλέγουμε-χρωματίζουμε το indexing engine entry και εν συνεχεία κάνουμε κλικ στο Repair button.



    Εφόσον ολοκληρωθεί πλήρως η επισκευή τότε αμέσως μετά δοκιμάζουμε να εγκαταστήσουμε ή να απεγκαταστήσουμε τον συγκεκριμένο Exchange server role ξανά.

    Εάν το πρόβλημα συνεχίζει να υφίσταται τότε προχωρούμε σε επανεγκατάσταση του πιο τελευταίου/πρόσφατου Update
    Rollup το οποίο είχε εγκατασταθεί στον συγκεκριμένο Exchange 2010 server.  Για να διαπιστώσουμε πιο είναι αυτό update επιλέγουμε Control Panel -> Uninstall a Program.  Εν συνεχεία κάνουμε κλικ στο View Installed Updates στο αριστερό action pane.



    Σημειώστε εδώ ποιο είναι το συγκεκριμένο Update Rollup (ή το ποιο πρόσφατο εφόσον υπάρχουν περισσότερα του ενός) το οποίο είναι εγκατεστημένο στον Exchange server.




    Κάνουμε Download του συγκεκριμένου Update Rollup και το εφαρμόζουμε εκ νέου στον server, και αμέσως μετά κάνουμε restart στον Exchange server.  Εν συνεχεία προσπαθούμε εκ νέου κάνουμε απεγκατάσταση ή επανεγκατάσταση  (remove or reinstall) του Exchange
    Server 2010 role. Σε μερικές περιπτώσεις έχει διαπιστωθεί ότι η εφαρμογή για δεύτερη φορά του Update Rollup είναι απολύτως απαραίτητη για την διόρθωση του λάθους.

    Εάν και πάλι ο Exchange server role δεν καθίσταται δυνατόν να απεγκατασταθεί τότε τότε κάνουμε απεγκατάσταση (Uninstall) του Update Rollup.

    Όταν τελικά το πρόβλημα επιλυθεί τότε ο Exchange server θα περάσει με επιτυχία τα readiness checks και έτσι θα μπορέσουμε να προχωρήσουμε στην απεγκατάσταση ή την επανεγκατάσταση των Exchange server roles.


  7. Jordan_Tsafaridis
    Όπως είναι γνωστό το Exchange 2010 SP1 είναι διαθέσιμο εδώ και ημέρες για το κοινό και μπορούμε να το κατεβάσουμε σε αυτό από εδώ.
     
     
     
    Υποθέτωντας ότι έχουμε ήδη εγκαταστήσει ή πρόκειται να εγκαταστήσουμε σε έναν server ο οποίος έχει ενεργούς όλους τους ρόλους του Exchange, τότε τα παρακάτω hot fixes είναι απαραίτητα πριν από την εγκατάσταση του Exchange 2010 Service Pack 1 σε λειτουργικό περιβάλλον Microsoft Windows Server R2:
     
     
    Απαραίτητες Αναβαθμίσεις για τον Windows Server 2008 R2:
     
     
     
    KB 977020 - .NET Framework 2.0 hotfix
     
    KB 979099 - AD RMS hotfix
     
    KB 979744 - .NET Framework 2.0 hotfix
     
    KB 979917 - ASP.NET 2.0 hotfix
     
    KB 2282949 - UCMA hotfix - August 2010 - 3.5.6907.210
     
    KB 982867 - .NET Framework 3.5 SP1 hotfix
     
    KB 983440 - ASP.NET 2.0 hotfix rollup
     
    Office 2010 Filter Pack
     
     
     
    Βεβαίως είναι πολλοί αυτοί οι οι οποίοι θα αναρωτηθούν γιατί αναφέρομαι σε αυτές τις αναβαθμίσεις. Ο λόγος είναι πολύ απλά ότι οι αναβαθμίσεις αυτές δεν αναπτύσσονται από το Exchange
    team, και συνεπώς δεν συμπεριλαμβάνται στα download binaries του Exchange 2010 Service Pack 1.
     
  8. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας ο σκοπός του συγκεκριμένου άρθρου είναι να σας βοηθήσει με τέτοιο τρόπο έτσι ώστε να έχετε πρόσβαση από έναν και μόνο σημείο χωρίς να χάνετε το χρόνο σας ψάχνοντας στα Microsoft support links για να κατεβάσετε όλα τα απαιτούμενα hot fixes και updates για να εγκαταστήσετε τον Exchange 2010 SP1.
     
     
     
    Συνεπώς κατά την λογική μου κάνω download όλα τα updates και τα διαχωρίζω σε 3 διαφορετικά
    ZIP files. Το αρχείο 2008-R1.zip για τα Server 2008 R1 hot fixes. Το αρχείο 2008-R2.zip για τα Server 2008 R2 hot fixes. Τέλος το αρχείο Shared.zip για όλα εκείνα τα updates τα οποία είναι κοινα και για τις λειτουργικές πλατφόρμες. Τα αποθηκελυω εν συνεχεία για ευκολία σε ένα USB thumb drive.
     
     
     
    Contents of Shared:
     
    FilterPack64bit.exe
     
    UcmaRedist.msp (August 2010 - 3.5.6907.210)
     
     
     
    Contents of 2008-R1:
     
    KB 973136 - request
     
    KB 977592 - request
     
    KB 977624-v2 - request
     
    KB 979099 - request
     
    KB 979744 - request
     
    KB 979917 - request
     
    KB 982867-v2 - request
     
     
     
    Contents of 2008-R2:
     
    KB 977020-v2 - request
     
    KB 977357 - request
     
    KB 979099 - request
     
    KB 979744 - request
     
    KB 979917 - request
     
    KB 981314 - request
     
    KB 982867-v2 - request
     
    KB 983440 - request
     
     
     
    Contents of W7:
     
    KB 977020-v2 - request
     
    KB 982867-v2 - request
     
     
     
    Τα μοναδικά updates στην παραπάνω λίστα τα οποία δεν αποτελούν αναστολείς της εγκατάστασης (deployment blocker)από τον εγκαταστάτη του
    Exchange 2010 SP1 είναι τα Server 2008 R2 WMI memory leak
    hot fixes - KB 977357 και 981314.
    Εφόσον παρακολουθείτε τους Exchange servers με το System Center Operations
    Manager ή με οτιδήποτε άλλο λογισμικό το οποίο συνεχώς καλεί την WMI Win32_Service class, αυτό το hot fix είναι απαραίτητο.
     
     
     
    Από καιρό σε καιρό η Microsoft ανανεώνει αυτά τα hot fixes. Όπως θα παρατηρήσετε μερικά από αυτά τα hot fixes βρίσκονται ήδη στην έκδοση 2.
     
     
     
    Τα επερχόμενα service packs των Windows και του .NET Framework θα αντικαταστήσουν την χρησιμότητα των συγκεκριμένων updates και έτσι δεν θα χρειάζονται πλέον
     
    Ελπίζω ότι το συγκεκριμένο άρθρο θα σας φανεί χρήσιμο.
     
     
  9. Jordan_Tsafaridis
    Θέμα : Διαγράφοντας μια Exchange PF database, η διαδικασία αποτυγχάνει εμφανίζοντας το παρακάτω μήνυμα λάθους σε έναν Exchange 2007 Server.





    Η public folder database 'SG02PF1' δεν μπορεί να διαγραφεί. ( SG02PF1 Failed ) Error: Object
    is read only because it was created by a future version of Exchange:
    0.10 (14.0.100.0). Current supported version is 0.1 (8.0.535.0). Λύση :
    Κάνουμε Logon στον Exchange 2010 Server και εν συνεχεία χρησιμοποιούμε την ακόλουθη εντολή PowerShell :
    Server Name: WINCMS Storage Group Name  SG02 Database Name: SG02PF1 Remove-PublicFolderDatabase -Identity "WINCMS\SG02\SG02PF1"
    Ελπίζω ότι θα σας φανεί ιδιαίτερα χρήσιμο.
  10. Jordan_Tsafaridis
    Όταν κάνουμε login σε έναν Exchange 2010 server, και εν συνεχεία ανοίγουμε το Exchange
    Management Console, είναι πολύ πιθανόν να εμφανιστεί ένα μήνυμα λάθους. Αυτό το μήνυμα λάθους σχετίζεται άμεσα με δύο θέματα.  Είτε ο Exchange 2010 Server έχει όντως πρόβλημα επικοινωνίας με τους Ιn-Site Domain Controllers, είτε υπάρχει profile corruption του λογαριασμού (account) τον οποίο χρησιμοποιούμε για να κάνουμε login στον Exchange 2010 Server.  Σύμφωνα δε με πληροφορίες οι οποίες προέρχονται από διάφορα user forums το συγκεκριμένο πρόβλημα κατά πλειοψηφία οφείλεται σε profile
    corruption του Exchange Management Console file.   

    Βήματα επίλυσης του προβλήματος

    Επαλίθευση και πιστοποίηση της επικοινωνίας με τους Domain Controllers:
    Πρώτα απ' όλα θα πρέπει να επαληθεύσουμε ότι ο Exchange 2010 Server δεν λαμβάνει λάθη κατά ην διάρκεια του MSExchange DSAccess suitability testing.  Αυτό μπορεί να εξακριβωθεί διαμέσου του Event log\Application
    EventID:  2080
    Source:  MSExchange ADAccess

    Εφόσον δεν εμφανίζονται στην λίστα όλοι οι In-Site
    domain controllers τους οποίους έχουμε εγκατεστημένους Ή το suitability score διαφέρει σημαντικά το ένα από το άλλο, τότε θα πρέπει να διερευνήσουμε μήπως υπάρχουν προβλήματα επικοινωνίας (communication) καθώς επίσης και προβλήματα στο replication μεταξύ των εγκατεστημένων DCs.  Εάν όλα είναι εντάξει τότε προχωρούμε στην διαδικασία επιδιόρθωσης του profile corruption.
    Profile corruption:
    Για την επιδιόρθωση :
    1. Κάνουμε login στον Exchange 2010 Server, και εν συνεχεία μεταβαίνουμε στην ακόλουθη θέση :
    C:\Users\<Username>\AppData\Roaming\Microsoft\MMC\
    2. Διαγράφουμε ή μετονομζουμε (Delete or rename) το ακόλουθο αρχείο : “Exchange Management Console”
    3. Αμέσως μετά κάνουμε Log out και εν συνεχεία κάνουμε ξανά login. Ανοίγουμε το Exchange Management Console και το λάθος θα πρέπει να μην εμφανιστεί ξανά.
  11. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, πιθανώς να έχετε βρεθεί και εσείς στην θέση, όπου σε μια εγκατάσταση Microsoft Exchange Server 2010/2010SP1 θα παρατηρήσατε μια σειρά λαθών τα οποία εμφανίζονται στο Application log αφότου το Microsoft
    Exchange RPC Client Access service έχει ξεκινήσει. Έχω παρατηρήσει ότι το συγκεκριμένο λάθος εμφανίζεται σε servers στους οποίους είναι εγκατεστημένο μόνον το Mailbox Role. Παρότι και ο CAS role έχει ένα service το οποίο επίσης ονομάζεται Microsoft Exchange RPC Client Access το συγκεκριμένο μήνυμα λάθους δεν έχει παρατηρηθεί ότι εμφανίζεται όταν υπάρχει εγκατεστημένο μόνο το CAS Role στον server χωρίς το Mailbox  Role.



    Όλα τα λάθη προέρχονται από το Performance counter category name MSExchange RpcClientAccess.

    Αναλυτικότερα - Event ID 106, Source MSExchange Common, Level Error:

    Log Name:      Application
    Source:        MSExchange Common
    Date:          24.1.2011 21:25:17
    Event ID:      106
    Task Category: General
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      ServerName.fqdn.local
    Description:
    Performance
    counter updating error. Counter name is RPC Requests, category name is
    MSExchange RpcClientAccess. Optional code: 3. Exception: The exception
    thrown is : System.InvalidOperationException: The requested Performance
    Counter is not a custom counter, it has to be initialized as ReadOnly.
       at System.Diagnostics.PerformanceCounter.Initialize()
       at System.Diagnostics.PerformanceCounter.set_RawValue(Int64 value)
       at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.set_RawValue(Int64 value)
    Last
    worker process info : System.UnauthorizedAccessException: Access to the
    registry key
    'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\Transport' is
    denied.
       at Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str)
      
    at Microsoft.Win32.RegistryKey.CreateSubKey(String subkey,
    RegistryKeyPermissionCheck permissionCheck, RegistrySecurity
    registrySecurity)
       at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.GetLastWorkerProcessInfo()

    Θα πρέπει σε αυτό το σημείο να σημειώσουμε ότι σε καμία περίπτωση δεν πρέπει να ανησυχείτε για αυτό το συγκεκριμένο λάθος. Η Microsoft έχει δημισιέυσει το παρακάτω άρθρο KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010. Μάλιστα αναφέρει επακριβώς τα παρακάτω :


    This problem occurs because the performance counters of the RPC
    Client Access service are not installed when you install only the
    Mailbox role on an Exchange Server 2010 server. However, this does not
    affect the functionality of the Exchange Server 2010 server.

    Οπωσδήποτε σε καμία περτωση δεν είναι ωραίο από την πλευρά ενός τεχνικού ΙΤ να παρουσιάζονται τόσα πολλά μηνύματα λαθών στον Event Viewer αμέσως μετά την επανεκκίνηση του Microsoft Exchange RPC Client Access service. Για τον λόγο αυτό παρακάτω παρουσιάζω τον τρόπο με τον οποίο εγκαθιστούμε manually τους RPC Client Access performance counters.

    Εγκατάσταση - Προσθήκη των  RPC Client Access performance counters

    Εκκινούμε τον Exchange Management Shell και γράφουμε τις παρακάτω εντολές, όπου "C" ο οδηγός δίσκου στον οποίο είναι εγκατεστημένος ο Microsoft Exchange 2010 Server.
    Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Setup New-PerfCounters -DefinitionFileName "C:\Program Files\Microsoft\Exchange
    Server\V14\Setup\Perf\RpcClientAccessPerformanceCounters.xml"
     

    Κάνουμε Restart τον server ή το Microsoft Exchange RPC Client Access service. Πλέον τα μηνύματα λάθους δεν εμφανίζονται, γεγονός το οποίο κάνει τους administrators χαρούμενους…
     

    Links:

    KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010 How to fix/repair broken Exchange 2007 counters How to unload/reload performance counters on Exchange 2010  
  12. Jordan_Tsafaridis
    Εισαγωγή

    Ένα από τα νέα χαρακτηριστικά του TMG, το οποίο μάλιστα ήταν εδώ και καιρό απαίτηση των administrator προς την ομάδα ανάπτυξης του TMG, είναι η δυνατότητα υποστήριξης πολλαπλών εξωτερικών δικτυακών συνδέσεων. Η λειτουργία αυτή ονομάζεται σύμφωνα με την διεθνή ορολογία ISP Redundancy (ISP-R), η οποία αποτελεί πλέον αναπόσπαστο κομμάτι του TMG 2010. Ο σκοπός του άρθρου αυτού είναι να διερευνήσουμε τις δυνατότητες τις οποίες μα παρέχει αυτή η υπηρεσία του TMG 2010, σε επίπεδο operating modes, εξήγηση του αλγορίθμου load balancing, και τέλος το Dead link process. συνεπώς με την δυνατότητα υποστήριξης δύο μοναδικών και ανεξάρτητων συνδέσεων σε δύο διαφορετικούς ISP's, μπορούμε πλέον να έχουμε fault tolerance και redundancy μεταξύ των Internet ή των WAN συνδέσεων, τις οποίες έχουμε σε χρήση.
     

    Operating Modes

    Η λειτουργία ISP-R στον TMG έχει δύο operating modes – Load Balancing και
    Failover. Στο Load Balancing mode, οι συνδέσεις εξυπηρετούνται
    (balanced) μεταξύ δύο εξωτερικών δικτύων evenly (by default) ή unevenly
    (configurable by the administrator). Εάν κάποια από τις εξωτερικές συνδέσεις καταστεί μη διαθέσιμη τότε όλη η επικοινωνία δρομολογείται από την σύνδεση εκείνη η οποία είναι ενεργή. Στο Failover mode, το ένα από τα δύο εξωτερικά δίκτυα ρυθμίζεται ως primary connection, και το δεύτερο εξωτερικό δίκτυο ως secondary
    connection. Όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το primary connection. Εάν το primary connection καταστεί μη διαθέσιμο, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το secondary connection. Όταν το primary connection καταστεί διαθέσιμο και πάλι, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται ξανά από το primary connection.

    Προετοιμάζοντας τα Network Interfaces

    Το ISP-R υποστηρίζει μόνον δύο συνδέσεις εξωτερικών δικτύων (external network connections), και κάθε σύνδεση θα πρέπει να βρίσκεται σε ένα και μοναδικό subnet. Για την σωστή λειτουργία και την βέλτιστη απόδοση του συστήματος, είναι απαραίτητο και τα δύο external network interfaces νε ρυθμιστούν ταυτόσημα (identically - δώστε ιδιαίτερη προσοχή στο NIC driver
    offload settings). Το ιδανικό θα είναι οι δύο network interface cards να είναι του ιδίου κατασκευαστή και τύπου.

    Ξεκινώντας θα πρέπει να δώσουμε σε κάθε network interface ένα χαρακτηριστικό όνομα (π.χ.
    External_Otenet and External_Vodafone). Εν συνεχεία ρυθμίζουμε το πρώτο fexternal
    network interface με IP address, subnet mask, και default gateway. Εάν ο TMG firewallδεν είναι μέλος ενός domain και δεν επικοινωνεί με κανένα εσωτερικό δίκτυο τότε μπορούμε να χρησιμοποιήσουμε τους ISP’s DNS servers. Ωστόσο, εάν ο TMG firewall είναι domain member, μην χρησιμοποιήσετε εδώ τους ISP DNS servers (Οι Internal DNS servers χρησιμοποιούνται μόνον στο internal network interface). Μόλις ολοκληρώσουμε τις ρυθμίσεις, κάνουμε κλικ στο Advanced…
    button.


    Figure 1

    Uncheck το κουτί με τίτλο Automatic metric, και στην συέχεια εισάγεται την τιμή 1στο κουτί  Interface metric.


    Figure 2

    Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network
    interface, χρησιμοποιώντας τώρα Interface metric: με τιμή 2. Θα πρέπει να βεβαιωθείταιότι έχετε όρίσει default gateway στο δεύτερο external
    interface. Μιλώντας σε ενιαία βάση αυτό κανονικά δεν συνιστάται, με συνέπεια τα Windows να παραπονεθούν όταν επιχειρήσετε να το ενεργοποιήσετε.


    Figure 3

    Σε αυτό το σενάριο είναι απολύτως ασφαλές να αγνοήσουμε την προεοδοποίηση και επιλέγουμε Yes για να συνεχίσουμε.

    Σημείωση :
    Εάν οι ISPs που είστε συνδεδεμένοι χρησιμοποιούν DHCP για να αναθέτουν IP addresses, τότε δεν έχετε την δυαντότητα να χρησιμοποιήτε multiple default gateways. Στην περίπτωση αυτή είμαστε υποχρεωμένοι να εισαγάγουμε default persistent static routes πριν από την ρύθμιση των ISP-R. Στο συγκεκριμένο παράδειγμα, τα routes θα πρέπει να ρυθμιστούν όπως περιγράφεται παρακάτω :

    route add –p 0.0.0.0 mask 0.0.0.0 131.107.54.46

    route add –p 0.0.0.0 mask 0.0.0.0 207.213.91.214

    Ρυθμίσεις του ISP Redundancy

    Μόλις το αρχικό network interface configuration ολοκληρωθεί , ανοίγουμε την TMG management console και στο console tree επιλέγουμε Networking,και εν συνεχεία επιλέγουμε το  ISP Redundancy tab.


    Figure 4

    Στο Tasks pane, κάνουμε κλικ στο Configure ISP Redundancy.


    Figure 5

    Επιλέγουμε Next, και ενσυνεχεία επιλέγουμε το ISP redundancy mode που εξυπηρετεί τις απαιτήσεις μας. Στην συγκεκριμένη περίπτωση θα επιλέξουμε το default
    option Load balancing with failover capability.


    Figure 6

    Καθορίζουμε το ISP connection name:, και εν συνεχεία επιλέγουμε το network
    adapter από το drop-down list.


    Figure 7

    Γίνεται έλεγχος, έτσι ώστε να επιβεβαιώσουμε ότι το gateway address και το subnet mask είναι τα σωστά. Εάν ο
    TMG firewall δεν αποτελεί μέλος ενός domain και δεν επικοινωνεί με κανένα internal network κάνοντας χρήση ονομάτων (By name), τότε μπορούμε να ορίσουμε τους ISP’s DNS
    servers εδώ. Εάν ο TMG firewall είναι μέλος domain, τοτε δεν καθορίζουμε εδώ τους
    ISP DNS servers (Οι εσωτερικοί DNS servers ρυθμίζονται μόνον στο
    internal network interface).


    Figure 8

    Σε ορισμένες περιπτώσεις κάποιοι external servers μπορούν να έχουν επικοινωνία μόνον διαμέσου ένός συγκεκριμένου external link. Ένα τέτοιο παράδειγμα μπορεί να είναι ο  ISP DNS
    server ή ένας mail server. Eάν απαιτείται θα πρέπει να εισαγάγουμε αυτούς τους servers εδώ. Έτσι λοιπόν σε αυτό το σημείο έχουμε την δυαντότητα να καθορίσουμε συγκεκριμένους computers, computer sets, ή address
    ranges.


    Figure 9

    Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network connection,και στην συνέχεια επιλέγουμε το  distribution percentage μετακινώντας το slider στην επιθυμητή θέση. Εφόσον και τα δύο external links έχουν το ίδιο bandwidth,τότε μπορείτε με ασφάλεια να αφήσετε την ρύθμιση στο 50%. Στην αντίθετη περίπτωση κατά την οποία το bandwidth του ενός link είναι μελύτερο από το άλλο, τότε ηρύθμισετε γίνεται έτσι ώστε το συγκεκριμένο link να δέχεται μεγαλύτερο ποσοστό
    traffic.


    Figure 10

    Επιλέγουμε Finish για να ολοκληρωθεί η διαδικασία ISP-R configuration.


    Figure 11

    Εάν έχουμε ρυθμίσει DNS servers στα external network
    interfaces, τότε θα πρέπει να βεβαιωθούμε ότι έχουμε δημιουργήσει τα αντίστοιχα persistent static routes έτσι ώστε να εξασφαλίσουμε ότι τα requests για τα συγκεκριμένα resources δρομολογούνται (routed) από το σωστό
    network interface.


    Figure 12

    Στο παράδειγμά μας, τα routes αυτά είναι τα παρακάτω:

    route add -p 131.107.54.200 mask 255.255.255.255 131.107.54.46

    route add -p 207.213.91.214 mask 255.255.255.255 207.213.91.214

    Μόλις τα ρυθμίσουμε, η TMG management console θα εμφανίσει την πληροφορία για κάθε σύνδεση ISP, καθώς και το προεπιλεγμένο
    redundancy mode.


    Figure 13

    Μετά από την ρύθμιση του ISP-R, για να κάνουμε αλλαγές στην ρύθμιση κάποιου συγκεκριμένου
    ISP connection κάνουμε right-click στο connection και επιλέγουμε Properties.


    Figure 14

    Εδώ μπορούμε να λλάξουμε το όνομα της σύνδεσης, να μεταβάλλουμε την πληροφορία IP
    address/subnet mask, να ενεροποιήσουμε ή να απενεροποιήσουμε την συγκεκριμένη σύνδεση, να τροποιήσουμε το load balancing ratio, ή να προσθέσουμε, να αλλάξουμε, ή να διαγράψουμε dedicated
    servers.


    Figure 15

    Αλλαγή του ISP-R Operating Mode

    Στο συγκεκριμένο παράδειγμα έχουμε ρυθμίσει το ISP-R για Load Balancing. Εάν θέλουμε να αλλάξουμε το ISP-R operating mode, κάνουμε κλικ στο Change ISP Redundancy
    Mode to Failover στο Tasks pane.
     


    Figure 16

    Όταν γίνεται αλλαγή από το Load Balancing mode στο Failover
    mode, θα πρέπει να κάνουμε edit στα connection properties και να επιλέξουμε το ενδεδειγμένο connection role για την συγκεκριμένη σύνδεση. Θυμηθείτε, ότι στο Failover
    mode όλο το traffic θα σταλεί διαμέσου του primary external connection και το secondary connection θα χρησιμοποιηθεί τότε και μόνον τότεόταν το primary connection καταστεί μη διαθέσιμο.


    Figure 17

    Monitoring ISP-R

    Για να δούμε το status του κάθε ISP connection, highlight Dashboard στο console tree.


    Figure 18

    Το status του κάθε ISP link θα εμφανιστεί στο Network
    Status frame.


    Figure 19

    Εάν καποιο από τα link καταστεί μη διαθέσιμο, τότε το connection status θα εμφανίσει ένα
    alert.


    Figure 20

    Επιπροσθέτως μπορούμε να παρακολουθήσουμε τα Connections Unavailable alert κάτω από το  Alerts tab.


    Figure 21

    Όταν η σύνδεση είναι και πάλι online, ο TMG θα εμφανίσει ένα informative
    alert ενημερώνοντας ότι η σύνδεσηείναι και πάλι διαθέσιμη.


    Figure 22

    Υπάρχει ένας αριθμός από ISP-R alerts με σκοπό ο TMG firewall
    administrator να είναι πάντοτε ενημερωμένος για το the status και το health των external
    network connections.


    Figure 23

    Load Balancing και Dead Link Detection

    Είναι σημαντικό να αντιληφθούμε ότι το ISP-R διανέμει συνδέσεις, και όχι φορτίο. Ο τρόπος με τον οποίο το ISP-R αποφασίζει σε ποιο από τα external interface θα διανείμει το traffic καθορίζεται από την εκτέλεση ενός hash στην source
    IP address και στην destination IP address. Το αποτέλεσμα είναι ένας αριθμός μεταξύ 0 και 100. Εάν το αποτέλεσμα είναι κάτω από το ποσοστό το οποίο έχει επιλεγεί για το πρώτο ISP connection, τότε οTMG θα χρησιμοποιήσει αυτό το connection. Εάν όχι, τότε ο
    TMG θα χρησιμοποιήσει το άλλο external connection. Αυτό εξασφαλίζει το session
    affinity(Ορολογία - Affinity : all connections for a specific source/destination address
    pair will be delivered through the same external network interface). Το
    hash υπολογίζεται για κάθε εξερχόμενη σύμδεση. (Outgoing Connection)

    Για να καθοριστεί η διαθεσιμότητα ενός συγκεκριμένου ISP connection, ο TMG εκτελεί περιοδικά ένα dead link detection επιλέγοντας τυχαία έναν από τουε δεκατρείς (13) Internet root DNS servers στο TCP port 53 (Εάν ο TMG  έχει εγκατασταθεί ωςback firewall, βεβαιωθείτε ότι το TCP port 53 είναι ανοιχτό στο Internet). Εάν ο επιλεγμένος root DNS server ανταποκριθεί, τότε ο TMG θεωρεί ότι το συγκεκριμένο connection είναι διαθέσιμο. Εάν δεν απαντήσει, τότε TMG θα χρησιμοποιήσει επιπλέον root DNS servers σε χρονικά διαστήματα του ενός λεπτού. Εάν και πάλι δεν ληφθούν απαντήσεις μετά από τρεις συνεχείς προσπάθειες, τότε ο TMG θεωρεί ότι το συγκεκριμένο
    connection είναι μη διαθέσιμο και εμφανίζει ένα alert. Εφόσον ο TMG διαπιστώσει ότι ένα
    connection είναι μη διαθέσιμο, θα περιμένει πέντε λεπτά πριν επιχειρήσει ξανά να διαπιστώσει εάν είναι διαθέσιμο ή όχι. Όταν τελικά λάβει μια απάντηση, τότε ο TMG θα συνεχίσει να ρωτά εάν είναιδιαθέσιμο κάθε ένα λεπτό. Όταν τρεις συνεχόμενες απαντήσεις έχουν ληφθεί, τότε ο TMG θα θεωρήσει ότι το connection είναι και πάλι διαθέσιμο.

    Σενάρια Deployment


    Η επιλογή των ISP-R operating modes επηρεάζεται πρωτίστως από τον τύπο των Internet ή των WAN connections τα οποία έχετε. Για παράδειγμα, εάν έχετε δύο όμοια Ιnternet connections όσον αφορά το bandwidth,το Load
    Balancing mode είναι μια καλή επιλογή. Εάν όμως έχετε ένα high bandwidth
    connection και ένα low bandwidth connection, τότε το Failover mode είναι η σωστή επιλογή. Παρόλα αυτά αν και αυτή η τεχνολογία ονομάζεται ‘ISP’
    redundancy, δεν περιορίζεται μόνον στα Internet-connected links. Το ISP-R μπορεί να χρησιμοποιηθεί για να παρέχει load balancing και failover για WAN links μεταξύ ενός υποκαταστήματος και των κεντρικών γραφείων μιας επιχείρησης.

    Επιπλέον Θέματα


    Θα πρέπει να λάβετε υπόψην σας τα παρακάτω όταν σχεδιάζεται και υλοποιείται μια εγκατάσταση ISP-R :
    Τα παρακάτω είναι στην Αγγλική γλώσσα, προκειμένου να μην αλλοιωθεί το νόημά τους μιας και προέρχονται από το Microsoft Technet.
     

    Works with NAT only – ISP-R will only provide load balancing and failover for traffic originating from TMG protected networks and
    destined for the default External network, and will only work when the
    network relationship is configured as NAT. If the network relationship
    is configured as route, ISP-R will not function. This is
    important because traffic originating from the TMG firewall itself will
    not be processed by ISP-R, as the network relationship between the Local
    Host network and the External network is route.
     

    E-NAT overrides ISP-R – For traffic processed by a network rule configured with Enhanced NAT (E-NAT), E-NAT takes
    precedence and will override any routing decisions made by ISP-R.
     

    Load balancing is not perfect – The load balancing mechanism in ISP-R does not distribute traffic perfectly. Since traffic
    is distributed by connections, not load, the potential exists for some
    connections to consume more bandwidth than others, skewing the
    distribution percentage.

    When ISP-R is configured to provide load balancing or failover for
    branch office WAN connections, the default dead link detection mechanism
    may not be appropriate. If you recall, TMG will randomly poll Internet
    root DNS servers to verify connectivity. If, for example, the TMG
    firewall is configured to NAT traffic between a branch office and a main
    office and the main office Internet connection is unavailable, TMG will
    report both of its WAN connections as being unavailable, when in fact
    they are.

    In some cases, branch office TMG firewalls may not have direct
    connectivity to the Internet, which will prevent TMG from polling
    Internet root DNS servers. In this branch office firewall scenario it
    would be better to poll services located directly on the other side of
    the WAN connection. To change the default link detection parameters and
    to make changes to polling frequency, please refer to this article
    [http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx]
    on the Forefront TMG product team blog.

    Συμπέρασμα

    Το ISP Redundancy αποτελεί ένα πολύτιμο χαρακτηριστικό του TMG διότι παρέχει fault
    tolerance και redundancy για εξωτερικές συνδέσεις δικτύου (external network connections); Επίσης σε περιπτώσεις κατά τις οποίες έχουμε ISP
    connections σε ανάπτυξη edge firewall, ή WAN links σε
    branch office firewall scenario. Τα Load Balancing και Failover operating
    modes παρέχουν την δυνατότητα ευέλικτων ρυθμίσεων έτσι ώστε να προσαρμόζονται με βάση τις προδιαγραφές των οποιονδήποτε εξωτερικών δικτύων, και σε συνδυασμό με τις απεριόριστες δυνατότητες πληροφόρησης κρατούν πάντοτε τον TMG
    firewall administrator ενημερωμένο για την κατάσταση των εξωτερικών συνδέσεων δικτύου. (Εxternal network connection
    status)
  13. Jordan_Tsafaridis
    Σκοπός αυτού του άρθρου είναι να παρουσιάσουμε εν συντομία το τρόπο με τον οποίο μπορούμε να διαχειριστούμε τον Forefront TMG κάνοντας χρήση VBScript καθώς επίσης πως μπορούμε να συλλέξουμε πληροφορίες διαμέσου της δυνατότητας υποστήριξης πρόσβασης "read only" PowerShell στον Forefront TMG.
    Ας ξεκινήσουμε

    Πρώτα απ'όλα θα πρέπει να σας εκμηστηρευτώ ότι σε καμία περίπτωση δεν είμαι ένας Scripting ή programming guru. Κατά την διάρκεια των φοιτητικών μου χρόνων ασχολήθηκα με προγραμματισμό σε γλώσσες όπως η Borland Turbo Pascal, η COBOL καθώς και η C++, αλλά ποτέ δεν ασχολήθηκα με τον προγραμματισμό επαγγελματικά. Παρόλα αυτά νομίζω ότι σε αυτό το άρθρο θα λάβετε αρκετή πληροφορία η οποία θα σας φανεί ιδιαίτερα χρήσιμη έτσι ώστε να καταλάβετε την δύναμη του VBScript και του PowerShell στον Forefront TMG, έτσι ώστε να είναι εύκολο για τον καθέναν μας να αναπτύξει τα δικά του scripts. Επιπροσθέτως θα ρίξουμε μια ματιά στο Forefront TMG SDK, στο οποίο περιλαμβάνεται και μια σειρά από ιδιαιτέρως χρήσιμα preconfigured scripts τα οποία έχουν σαν σκοπό να αυτοματοποιήσουν την εργασία της διαχείρισης του.
    O Forefront TMG ως COM
    To COM χρησιμοποιείται από τις τεχνολογίες scripting όπως η VBScript για την απόκτηση πρόσβασης στον Forefront TMG με την μέθοδο του προγραμματισμού. Σύμφωνα με την Wikipedia
    ο όρος COM σημαίνει Component Object Model. Το Component Object Model (COM)
    αποτελεί ένα πρότυπο binary-interface το οποίο σχετίζεται άμεσα με το software componentry και ανακοινώθηκε για πρώτη φορά από την Microsoft το 1993. Χρησιμοποιείται για την ενεργοποίηση του interprocess communication και του
    dynamic object creation σε ένα μεγάλο εύρος γλωσσών προγραμματισμού. Συχνά δε ο όρος COM χρησιμοποιείται στην βιομηχανία ανάπτυξης λογισμικού γύρω από τα προϊόντα της Microsoft ο οποίος λειτουργεί ως ομπρέλλα κάτω από την οποία περιλαμβάνονται και τα OLE, OLE Automation, ActiveX,
    COM+ και οι DCOM technologies. Το COM αποτελεί μια interface technology η οποία καθορίζεται και εφαρμόζεται/αναπτύσεται ως πρότυπο μόνον στα Microsoft Windows και στο Apple's Core
    Foundation 1.3 και νεότερες εκδόσεις. Σε κάποιες δε εφαρμογές το COM αντικαταστάθηκε σε κάποιο βαθμό από το Microsoft .NET framework, όπως επίσης και η υποστήριξη των Web Services διαμέσου του Communication Foundation
    (WCF). Εντούτοις, τα COM objects μπορούν να χρησιμοποιηθούν με όλες τις .NET languages διαμέσου του .NET COM Interoperability.

    Ο Forefront TMG COM έχει ένα root object το οποίο ονομάζεται
    FPC.Root. Αυτό το root object διαχειρίζεται το Enterprise object το οποίο ταυτοποιείται/αναγνωρίζεται ως FPCEnterprise και στους Arrays ως FPCArrays.FPC. Το Root αποτελεί το root του administration COM object hierarchy, και παρέχει πρόσβαση κάνοντας χρήση προγραμματισμού - (programmatic access) -  σε άλλα FPC objects. Κάθε υπολογιστικό σύστημα Forefront TMG σχετίζεται - (associated) - με έναν μοναδικό array ως ένα από αρκετά fpcServer objects μέσα σε μία συλλογή από fpcServers.

    Άλλα objects τα οποία διαχειρίζονται από αυτό το Enterprise object και από το Array object είναι τα ακόλουθα:


    Admin Security object (χρησιμοποιείται από το Enterprise και από το Array)

    Extensions object (χρησιμοποιείται από το Enterprise και από το Array)

    Policy Rule object (χρησιμοποιείται από το Enterprise και από το Array)

    Server object (χρησιμοποιείται από το Array)

    Rule Elements object (χρησιμοποιείται από το Enterprise και από το Array)

    Cache object (χρησιμοποιείται από το Array)

    Network Configuration object (χρησιμοποιείται από το Enterprise και από το Array)

    Array Policy object (χρησιμοποιείται από το Array)

    IP object (χρησιμοποιείται από το Array)
    Based on this knowledge you should have a better
    understanding about the VBScript script examples which you can found on
    several Internet websites and in the Forefront TMG SDK. An understanding
    of COM objects is also helpful when you use the PowerShell to query
    Forefront TMG objects. Forefront TMG has no built-in PowerShell CMDLets
    and will use COM.

    Forefront TMG SDK
    Αρχικά θα ξεκινήσουμε με το Forefront TMG SDK, το οποίο μπορούμε να το κατεβάσουμε δωρεάν από το Microsoft website. Θα βρείτε τον διαδικτυακό σύνδεσμο (link) για να κατεβάσετε αυτό το SDK στο τέλος αυτού του άρθρου. Το Forefront TMG SDK
    έρχεται με ένα πάρα πολύ χρήσιμο documentation στο οποίο περιγράφεται εκτενώς  ο προγραμματισμός του Forefront TMG
    καθώς επίσης πληροφορίες ανώτερου επιπέδου σχετικά με μία σειρά από εσωτερικά Forefront TMG
    concepts. Το Forefront TMG SDK περιλαμβάνει και μια σειρά από παραδείγματα scripting από τα οποία θα χρησιμοποιήσω ορισμένα κομμάτια κώδικα.
     


    Εικόνα 1: Forefront TMG SDK – Παραδείγματα Script
     

    Ένα από τα παραδείγματα scripts μας επιτρέπει να προσθέσουμε Forefront
    TMG Administrators στο role based access model του Forefront TMG, όμως μόνον στο Monitor group. Εδώ επιτρέψτε μου ότι θα αποτελούσε μια ευχάριστη άσκηση ο εμπλουτισμός του συγκεκριμένου script έτσι ώστε να προσθέσετε τον Αdministrator και σε άλλα Forefront TMG roles.
     


    Εικόνα 2: Προσθήκη χρήστη στο Monitor role group του Forefront TMG

    Παραδείγματα VBScript

    Ο ευκολότερος τρόπος για να αυτοματοποιήσουμε ορισμένα tasks στον Forefront TMG είναι με την χρήση των VBScript.
    Τα VBScript ήταν επίσης διαθέσιμα και στην παλαιότερη έκδοση του Forefront TMG και μπορούν να χρησιμοποιηθούν για την αυτοματοποίηση ορισμένων administration tasks. Το πρώτο παράδειγμα script σας εμφανίζει όλους τους Forefront TMG arrays.

    Το script ξεκινα με την ρύθμιση του Forefront TMG
    root το οποίο είναι πάντοτε το FPC.Root και οριοθετεί μια παράμετρο - (set a variable) - η οποία θα περιέχει τους Forefront TMG arrays (objFPC.Arrays). Το script θα εμφανίζει ένα Input Box όπου θα εισάγουμε το όνομα του Forefront TMG array ή αντιστοίχως θα αφήνουμε το dialog box κενό έτσι ώστε να αλμβάνουμε μία λίστα από όλους τους διαθέσιμους Forefront TMG arrays. 
     
     


    Εικόνα 3: Εμφάνιση πληροφοριών για τον Forefront TMG array.
     

    Ένα κλασικό Script

    Ένα κλασικό script το οποίο έχω χρησιμοποιήσει αρκετές φορές σε εγκαταστάσεις ISA Server και Forefront TMG
    είναι η εξαγωγή όλου του Forefront TMG configuration κάνοντας χρήση ενός
    script. Μπορείτε να χρησιμοποιήσετε το παρακάτω script σε συνδυασμό με τον Windows Task Scheduler για να εξάγετε το όλο το Forefront TMG configuration σε κάποιον άλλο host σε επαναλαμβάνομενα χρονικά διαστήματα.

    Dim fileName

    Dim WSHNetwork

    Dim shareName: shareName = WScript.Arguments(0)

    Dim xmldom : set xmldom = CreateObject("Msxml2.DOMDocument")

    Dim fpc : set fpc = WScript.CreateObject("Fpc.Root")

    Dim array : set array = fpc.GetContainingArray

    set WSHNetwork = CreateObject("WScript.Network")

    fileName=shareName & "\" & WSHNetwork.ComputerName & "-" &

    Month(Now) & "-" & Day(Now) & "-" & Year(Now) & ".xml"

    array.Export xmldom, 0

    xmldom.save(fileName)

    Αυτό το script χρησιμοποιεί το Windows Scripting Host (WSH), καθορίζει το Forefront TMG Root (FPC.Root), ορίζει κα΄ποιες μεταβλητές και εν συνεχεία δημιουργεί ένα αρχείο XML το οποίο βασίζεται στην συγκεκριμένη ημέρα κατά την οποία αυτό το script εκτελέστηκε. Συνεπώς δεν έχετε παρά να σώσετε το παραπάνω παράδειγμα scripting ως ένα αρχείο με .VBS extension και αμέσως μετά δημιουργήστε ένα αρχείο batch με την ακόλουθη σύνταξη:

    Cscript TMGBACKUP.VBS \\RemoteServer\TMG-BACKUP

    Το παραπάνω θα δημιουργήσει ένα αντίγραφο ασφαλείας του Forefront TMG
    configuration στο προκαθορισμένο file share (TMG-Backup). Εάν επιθυμείτε να δημιουργήσετε επαναλαβάνομενα backups του δικού σας Forefront TMG configuration απλά πρέπει να δημιουργήσετε ένα task με το Windows Task Scheduler, το οποίο θα εκτελεί το συγκεκριμένο αρχείο batch.

    Εξαγωγή του ISA Server 2006 VPN configuration και εισαγωγή του στον Forefront TMG
    Το επόμενο παράδειγμα είναι πιο περίπλοκο. Πραγματοποιεί την εξαγωγή του ISA Server 2006 VPN
    configuration και την εισαγωγή του σε έναν Forefront TMG Server. Το script αυτό δημιουργήθηκε από τον MVP
    Christian Groebner. To πλήρες άρθρο μπορείτε να το βρείτε στον παρακάτω σύνδεσμο ο οποίος είναι αφιερωμένος αποκλειστικά στον ISA Server και τον  Forefront TMG.

    Εάν θέλετε να χρησμοποιήσετε αυτό το script example απλά κάνετε copy όλο το κείμενο στο Notepad και το σώζετε με .VBS extension.

    ' ----- Sub restore_ipsec_settings -----

    Sub restore_ipsec_settings(fpcRoot, VPN_Name, Int_PhaseI, Enc_PhaseI, Int_PhaseII, Enc_PhaseII)

     Dim Intproviders
     Dim Encproviders

     Intproviders = Array("SHA1","MD5")
     Encproviders = Array("DES","3DES")

     set objIPSec = fpcRoot.GetContainingArray.NetworkConfiguration.Networks.Item(VPN_Name).VPNConfiguration.IPSecSettings

     wscript.echo "Restoring IPSec-settings for network" & VPN_Name & vbCrLf
     wscript.echo "Phase I integrity : " & Intproviders(Int_PhaseI)
     objIPSec.Phase1Integrity = Int_PhaseI
     wscript.echo "Phase I encryption : " & Encproviders(Enc_PhaseI)
     objIPSec.Phase1Encryption = Enc_PhaseI
     wscript.echo "Phase II integrity : " & Intproviders(Int_PhaseII)
     objIPSec.Phase2Integrity = Int_PhaseII
     wscript.echo "Phase II encryption : " & Encproviders(Enc_PhaseII) & vbCrLf
     objIPSec.Phase2Encryption = Enc_PhaseII
     wscript.echo "Successfully applied the settings"
     wscript.echo "-----------------------------------------------------------" & vbCrLf

    End Sub


    ' ------ Sub Main -------

    Sub Main()

     Dim PhaseI_Int
     Dim PhaseI_Enc
     Dim PhaseII_Int
     Dim PhaseII_Enc
     Dim config

     config
    = Inputbox("Please enter the complete path and filename with extension
    to the existing configuration file of ISA 2006 : (Example:
    C:\Temp\config.xml)")

     Set xmlFile = CreateObject("Microsoft.XMLDOM")

     If xmlFile.load(config) then

      set objFPC = CreateObject("FPC.Root")

      Set networkNodes = xmlFile.getElementsByTagName("fpc4:Network")

      For each networkNode in networkNodes

       If (Not(networkNode.selectSingleNode("fpc4:NetworkConnectionType") is Nothing)) Then

        If (networkNode.selectSingleNode("fpc4:NetworkConnectionType").Text = 4) Then

         PhaseI_Int = 0
         PhaseI_Enc = 1
         PhaseII_Int = 0
         PhaseII_Enc = 1
         Name = networkNode.selectSingleNode("fpc4:Name").Text

         Set ipsecSettingsNode = networkNode.selectSingleNode("fpc4:VpnNetworkConfiguration/fpc4:VpnNetworkIPSecSettings")

         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption")
    is Nothing)) Then PhaseI_Enc =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption").Text
         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity")
    is Nothing)) Then PhaseI_Int =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity").Text
         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption")
    is Nothing)) Then PhaseII_Enc =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption").Text
         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity")
    is Nothing)) Then PhaseII_Int =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity").Text

         restore_ipsec_settings objFPC, Name, PhaseI_Int, PhaseI_Enc, PhaseII_Int, PhaseII_Enc

        End If

       End If

      Next

     objFPC.GetContainingArray.Save

     Else

      wscript.echo("The file does not exist!")

     End If

    End Sub


    '------ Start the script ------

    Main

    Εμφάνιση των Forefront TMG URL κατηγοριών
    Μία από τις καινούριες ιδιότητες - λειτουργίες του Forefront TMG είναι η υποστήριξη του for dynamic
    URL filtering. Το URL filtering χρησιμοποιεί κατηγορίες. Για να εμφανίσετε όλες τις τις Forefront TMG URL filter κατηγορίες, θα πρέπει να δημιουργήσετε ένα script με τον παρακάτω κώδικα:

    set root=CreateObject("FPC.Root")

    For Each cat in root.GetContainingArray().RuleElements.UrlCategories

        wscript.echo "'" & cat.Name & "' --> " & cat.CategoryID

    Next

    Το output του παραπάνω script παρουσιάζεται παρακάτω:
     


    Εικόνα 4: Εμφάνιση του Forefront TMG array information

    Ο Forefront TMG και το PowerShell
    Ο Forefront
    TMG δεν έχει ενσωματωμένο το Windows PowerShell cmdlet, αλλά μπορούμε αν'αυτού να χρησιμοποιήσουμε τα COM objects. Όταν έχουμε πρόσβαση στο ProgID ενός COM component,
    το οποίο είναι αποθηκευμένο στην Registry μπορούμε να χρησιμοποιήσουμε την εντολή New-Object command στο Windows PowerShell όπως θα διαπιστώσετε στο επόμενο screenshot (Root
    Object is always FPC.Root).
     


    Εικόνα 5: Καθορισμός του TMG Root Object

    Εμφάνιση του Forefront TMG Root

    Αμέσως μετά τον καθορισμό του Forefront TMG Root Object στο Windows
    PowerShell μπορούμε να λάβουμε πληροφορία σχετικά με το Forefront TMG Root Object
    configuration, όπως αυτό παρουσιάζεται στο παρακάτω screenshot.
     


    Εικόνα 6: Εμφάνιση του Forefront TMG root

    Query single Forefront TMG objects.

    Εάν θέλουμε να κάνουμε query σε ένα και μόνον Forefront TMG objects εισάγουμε $TMGRoot. στο Windows PowerShell window και κάνουμε κλικ στο TAB key πίσω από το $TMGRoot. definition για να εμφανιστούν όλα τα στοιχεία (all elements).
     


    Εικόνα 7: Query Forefront TMG objects κάτω από το FPC.Root
     


    Εικόνα 8: Εμφάνιση των properties του FPC.Root

    Καθορισμός του Forefront TMG Enterprise και του Array configuration με το Export
    Στο τελευταίο μας παράδειγμα θα μάθουμε τον τρόπο με τον οποίο μπορούμε να χρησιμοποιήσουμε το PowerShell σε συνδυασμό με τον Forefront TMG. Αυτό το παράδειγμα script μπορείτε να το κατεβάσετε από αυτόν τον σύνδεσμο. Το script αυτό καθορίζει τον Forefront TMG Enterprise και τους συνδεόμενους σε αυτόν arrays και εξάγει το configuration σε ένα αρχείο XML.

    Συμπέρασμα
    Ολοκληρώνοντας σε αυτό το άρθρο σας παρουσίασα μια σύντομη εισαγωγή του τρόπου με τον οποίο μπορείτε να διαχειριστείτε τον Forefront TMG κάνοντας χρήση των VBscript και του Microsoft PowerShell. Υπάρχουν διαθέσιμα στο διαδίκτυο πολλά ελεύθερα προς κατέβασμα και χρήση παραδείγματα Script όπου με λίγη προγραμματιστική προσπάθεια πιστεύω ότι μπορείτε να δημιουργήσετε τα δικά σας scripts
    τα οποία είμαι βέβαιος ότι θα διευκολύνουν την καθημερινή σας διαχείριση του Forefront TMG. Ελπίζω ότι η επόμενη έκδοση του Forefront TMG θα παρέχει πλήρη υποστήριξη του PowerShell.
  14. Jordan_Tsafaridis
    Σε έναν ForeFront Threat Management Gateway (TMG) 2010 firewall είναι δυνατόν να αντιμετωπίσουμε ένα Configuration Error alert όπως το παρακάτω :

    Η περιγραφή του συγκεκριμένου alert ορίζει τα εξής:
     
    “The routing table for the network adapter Internal includes IP address ranges that are not defined in the array-level network Internal, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
    The following IP address ranges will be dropped as spoofed:
    External:172.16.2.0-172.16.3.255;

    Το alert είναι το αποτέλεσμα του Forefront TMG firewall routing table και του network definition το οποίο είναι εκτός συγχρονισμού (being out of sync) μεταξύ τους. Στο συγκεκριμένο παράδειγμα το routing table μοιάζει όπως το παρακάτω:
     
    Εντούτοις το Forefront TMG Internal network definition μοιάζει όπως το παρακάτω:

    Όπως διαπιστώνετε, ο Forefront TMG firewall είναι ρυθμισμένος με ένα Internal network IP address range το οποίο είναι το 172.16.1.0/24. Παρόλα αυτά το routing table περιλαμβάνει επιπλέον static routes τα οποία κάνουν τα δίκτυα 172.16.2.0/24 και 172.16.3.0/24 προσβάσιμα.
    Για να επιλύσουμε αυτό το θέμα επιλέγουμε (highlight) το Networking node στο navigation tree. Εν συνεχεία επιλέγουμε το Networks tab στο κέντρο του παραθύρου, και αμέσως μετά επιλέγουμε το δίκτυο το οποίο αντιστοιχεί στην δέσμη των IP address οι οποίες περιλαμβάνεται στο συγκεκριμένο alert. Στο παράδειγμά μας η δέσμη διευθύνσεων 172.16.2.0-172.16.3.255 επίσης ανήκει στο εσωτερικό δίκτυο. Κάνοντας δεξί κλικ στο εσωτερικό δίκτυο (Internal network) εν συνεχεία επιλέγουμε τα properties, και αμέσως μετά επιλέγουμε το Addresses tab, όπου εκεί αφαιρούμε όλα τα address ranges τα οποία προηγουμένως είχαν ρυθμιστεί. Το επόμενο βήμα, είναι να επιλέξουμε την επιλογή Add Adapter και εν συνεχεία επιλέγουμε το network adapter γι’αυτό το δίκτυο.

    Με την μέθοδο αυτή το IP address range για το δίκτυο αυτό δημιουργείτε χρησιμοποιώντας το routing table για το συγκεκριμένο network interface. Συνεπώς αυτή η μέθοδος αποτελεί την ενδεδειγμένη μέθοδο για τον καθορισμό IP address ranges για τα Forefront TMG networks. Ολοκληρώνοντας σώστε τις αλλαγές και κάνετε εφαρμογή (apply) του configuration.
    Για περισσότερες πληροφορίες σχετικά με την ρύθμιση (configuration) των network interfaces στον Forefront TMG 2010 firewall, σας προτρέπω να διαβάσετε τα εξαιρετικά άρθρα του Jason Jones τα οποία είναι σχετικά με το συγκεκριμένο θέμα:
     
    Recommended Network Adapter Configuration for Forefront TMG Standard Edition Servers
    Recommended Network Adapter Configuration for Forefront TMG Enterprise Edition Servers
     
  15. Jordan_Tsafaridis
    Ένα intrusion detection and prevention system
    (IDS/IPS) αποτελεί ένα από τα πλέον σημαντικά και αναπόσπαστα συστατικά ενός σύγχρονου και ασφαλούς web gateway. Το
    Network Inspection System (NIS) στον Forefront Threat Management Gateway
    (TMG) 2010 αποτελεί μια μοναδική από τεχνολογική άποψη εφαρμογή του IDS/IPS. Το σύστημα NIS εστιάζεται ιδαιτέρως στην αναγνώριση, πρόληψη και αντιμετώπιση των επιθεσεων στα λειτουργικά συστήματα της Microsoft και στις αντίστοιχες εφαρμογές. Το NIS χρησιμοποιεί signatures τα οποία έχουν αναπτυχθεί από το Microsoft Malware Protection Center (MMPC) και τα οποία διανέμονται διαμέσου του Windows Update γνωστό και με την ονομασία WSUS.

    Το NIS στον Forefront TMG 2010 παρέχει προστασία εφαρμόζοντας low-level
    network protocol inspection. Κάθε πακέτο υπόκειται σε ανάλυση επιπέδου protocol
    state, message structure, καθώς και message content. Αντιστοίχως όταν λαμβάνεται ένα πακέτο, το σύστημα NIS θα το ελένξει μόνον όταν αυτό επιτρέπετε από το firewall policy, και επίσης μόνον αφότου οποιαδήποτε συσχετιζόμενα web ή application filters το έχουν επεξεργαστεί.

    Υπάρχει ένα μειονέκτημα, ωστόσο. ΄Οταν υπάρχει ένα custom protocol αυτό δεν υπόκειται σε NIS inspection από τον Forefront TMG firewall εκτός και αν αυτό συσχετίζεται με ένα standard protocol. Αποτελεί συχνό φαινόμενο όπου ένας Forefront TMG firewall administrator θα δημιουργήσει ένα custom protocol για ένα standard protocol το οποίο χρησιμοποιεί μία non-standard port.
    Ένα από τα πλέον κοινότυπα πρωτόκολα το οποίο παραμετροποιείται να χρησιμοποιεί non-standard
    ports είναι το HTTP protocol. Για παράδειγμα, εάν ένας administrator καθορίσει ένα custom protocol για να υποστηρίξει μια εφαρμογή web-based η οποία με την σειρά της χρησιμοποιεί την non-standard TCP port 62112, τότε το NIS δεν θα ελένξει αυτό το traffic παρότι η επικοινωνία είναι HTTP, το οποίο αποτελεί ένα πρωτόκολο το οποίο το NIS υπό κανινικές συνθήκες το επεξεργάζεται και το ελέγχει όταν αυτό λαμβάνει χώρα πάνω από το standard TCP port 80.

    Για να εφαρμόσουμε το Forefront TMG NIS inspection σε ένα custom protocol θα πρέπει πρώτα να συσχετιστεί με ένα standard protocol. Στο παράδειγμά μας χρησιμοποιούμε το πρωτόκολο
    HTTP πάνω από ένα non-standard port, και συνεπώς θα πρέπει να συσχετίσουμε το δικό μας custom
    protocol με το Web Proxy Filter.



    Ενσυνεχεία συσχετίζουμε το custom protocol με ένα standard protocol definition, το οποίο στην προκειμένη περίπτωση είναι το HTTP Proxy.



    Αφότου ολοκληρώσουμε την παραπάνω διαδικασία, το Forefront TMG NIS inspection θα εφαρμοστεί στο custom protocol και η αντίστοιχη πολιτική θα πολιτική θα επιβληθεί, σύμφωνα με την τρέχουσα διαμόρφωση NIS.
    Ελπίζω ότι θα βρείτε το παραπάνω χρήσιμο.

  16. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας το  Update Center στην Forefront TMG 2010 management console παρέχει μια άμεση και στιγμιαία απεικόνιση του status των signature updates για τους μηχανισμούς προστασίας Malware Inspection και Network Inspection System (NIS) αντίστοιχα. Εντούτοις, το όλο στήσιμο της απεικόνισης της συγκεκριμένης πληροφορίας (column layout) αφήνει εκτός πολύ σημαντικές πληροφορίες οι οποίες μπορούν να είναι εξόχως σημαντικές κατα την διάρκεια της αποσφαλμάτωσης (troubleshooting) όσον αφορά θέματα τα οποία σχετίζονται με signature update. Εξ ορισμού, οι στήλες Last Checked και Last Success αντίστοιχα είναι κρυμένες από την απεικόνιση (view). Για να εμφανίσουμε αυτήν την κρυμένη πληροφορία, κάνουμε δεξί κλικ right-click οπουδήποτε στα column headings και αμέσως μετά επιλέγουμε Add/Remove Columns.



    Εν συνεχεία, επιλέγουμε τις στήλες Last Checked και Last Success και αμέσως μετά κάνουμε κλικ στο Add.



    Τώρα πλέον έχουμε την δυνατότητα να βλέπουμε πότε ο Forefront TMG 2010 firewall έλενξε για updates και πότε αυτή η διαδικασία ήταν επιτυχής.


    Ελπίζω ότι θα το βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.

  17. Jordan_Tsafaridis
    Η Microsoft ανακοίνωσε την
    εξάρθρωση του δικτύου Kelihos, ενός botnet που εκτιμάται ότι αποστέλλει
    καθημερινά 4 εκατομμύρια spam email. Η εταιρεία έχει ήδη καταθέσει τις
    σχετικές μηνύσεις και το λόγο έχει τώρα η αμερικανική δικαιοσύνη.
     
    Οι
    κατηγορούμενοι είχαν δημιουργήσει περίπου 3.700 subdomains μέσω της
    υπηρεσίας cz.cc, πολλά από τα οποία χρησιμοποιούνταν για παράνομες
    δραστηριότητες. Εκτιμάται ότι περίπου 41.000 υπολογιστές σε όλο τον
    κόσμο είχαν μολυνθεί και συμμετείχαν στις δραστηριότητες του botnet.
     
    Σύμφωνα
    με τη Microsoft, το Kelihos botnet έχει χρησιμοποιηθεί για την υποκλοπή
    προσωπικών δεδομένων και άλλες παράνομες δραστηριότητες, πέρα από την
    αποστολή spam email.
     

    Το Kelihos είναι επίσης γνωστό με το όνομα
    Waledac 2.0. Να σημειωθεί ότι η πρώτη έκδοση του Waledac έχει επίσης
    εξαρθρωθεί από τη Microsoft, η οποία πιστώνεται επίσης και τη διάλυση
    του διαβόητου Rustock botnet.
     
    Πηγή : www.defencenet.gr

  18. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας παρακάτω σας παραθέτω την διασύνδεση (link) για ένα εξαιρετικά πιστεύω χρήσιμο e-book από τον εκδοτικό οίκο RealTimePublishers.com, όπου μπορεί ο καθένας μας να γίνει μέλος δωρεάν αποκτώντας πρόσβαση σε μια μεγάλη συλογή ηλεκτρονικών βιβλίων όσον αφορά τον χώρο μας, με θεματογράφια η οποία καλύπτει και τις πλέον εξεζετημένες τεχνολογίες. Το συγκεκριμένο e-book με τίτλο "How to Install SSL Certificates on Microsoft Servers by Dan Sullivan" έχετε την δυνατότητα να το κατεβάσετε από τον παρακάτω σύνδεσμο :
     
    http://nexus.realtimepublishers.com/htis.php
     
    Για την καλύτερη ενημέρωσή σας, παραθέτω παρακάτω τα περιεχόμενα του συγκεκριμένου ηλεκτρονικού βιβλίου από το πρωτότυπο στην Αγγλική γλώσσα. Ελπίζω ότι θα το βρείτε χρήσιμο.
     


    Synopsis
    Windows administrators are continually tasked with securing
    servers and applications, including installing SSL certificates for
    authentication and encryption. This raises a number of questions for
    system administrators: which kind of SSL certificate should be used?
    How are SSL certificates installed? What is the Certificate Store? How
    does SSL work in Internet Information Server (IIS), Exchange Server,
     SQL Server and SharePoint?  This how-to guide provides detailed step by
    step instructions on how to select, install and maintain SSL
    certificates in Microsoft environments. Whether you are just starting
    out and need to know how to acquire a certificate, or you are looking
    for tips on troubleshooting and maintaining existing certificate
    configurations, this guide has pragmatic and detailed information to
    help you.

    Chapter Previews
    Chapter 1: Getting Started with SSL Certificates in Windows Server

    We are constantly making use of SSL certificates, although we may not appreciate the
    frequency. When we navigate to a site using HTTPS, we are making use of an SSL certificate.
    When we encrypt a message to send to another party, we are depending on an SSL
    certificate. When we install software that has been signed by a trusted source, we are once
    again making use of SSL certificates. Their prevalence in IT environments indicates just
    how valuable they are in a number of applications. It is not surprising that sooner or later,
    many systems administrators, application managers, and other Windows professionals
    need to install and manage SSL certificates.

    This book is designed to help you understand how to select an SSL certificate, install it in a
    Windows environment, manage multiple certificates, and use them with specialized
    applications, such as the SQL Server relational database. The guide is organized into four
    chapters.


    Chapter 2: Understanding the Microsoft Certificate Store

    One of the things we quickly realize when we start to work with SSL certificates is how
    many we need to manage. We can have SSL certificates for Web servers, mail servers,
    various kinds of application servers, and individual users can have servers, too. And those
    are just the servers we generate or acquire for internal purposes. We also need to manage
    certificates for trusted third parties, like Microsoft or security vendors that provide SSL
    certificates. Certificates from these trusted sources are kept on our computers so that we
    can determine the authenticity of certificates signed by these parties. Clearly, we need a
    way to keep track of all the digital certificates. This is where a certificate store comes in.

    In this, the second chapter of How to Install SSL Certificates for on Microsoft Servers, we will
    examine some of the basic tasks associated with managing and maintaining SSL certificates.
    Before we jump into various certificate operations, we need to understand a bit about the
    certificate store and tools for working with that store.

    The chapter is organized into three main sections:

    Overview of the purpose of the certificate store How to manage certificates with the Microsoft Management Console (MMC) Maintenance tasks associated with SSL certificates
    The object of this chapter is to familiarize you with how the Windows operating systems
    (OSs) manage certificates and what you need to do to before taking the next step of
    deploying SSL certificates in your Web servers, email servers, database servers, and other
    enterprise applications.


    Chapter 3: Using SSL Certificates in Microsoft Internet Information Server (IIS)

    The goal of this book is to provide readers a step‐by‐step guide to working with SSL
    certificates in a Windows environment. In the first chapter, we considered different types
    of SSL certificates and the reasons for choosing one type over another. In the second
    chapter, we delved into the Microsoft Certificate Store and reviewed how to use the
    Microsoft Management Console (MMC) to perform basic certificate operations and
    management tasks. In this chapter, we turn our attention to one of the most common
    business drivers for using SSL certificates: providing assurance about the authenticity of
    our business' Web sites.

    Web sites make use of SSL certificates to authenticate themselves to clients and to support
    encrypted communication with clients. Windows systems administrators responsible for
    maintaining Web sites will likely have to install and maintain SSL certificates for one or
    more sites. This chapter provides a detailed explanation of how to install SSL certificates
    with Internet Information Server (IIS) Manager, including binding certificates to sites,
    configuring SSL settings, and verifying installation. The role of authenticating clients with
    SSL certificates is also discussed. We conclude this chapter with a discussion of setting up
    development and test environments with self‐signed certificates.

    The chapter is organized around three tasks commonly performed when working with IIS:

    Installing SSL certificates in IIS with the IIS Manager Authenticating clients with client certificate mapping Setting up SSL‐enabled development and test environments
    Most of the work involved in these steps occurs within the IIS Manager, but as we will see
    next, an important step begins with requesting a certificate from a trusted third‐party
    provider.


    Chapter 4: Installing SSL Certificates in Microsoft Exchange Server, Microsoft SharePoint, and Microsoft SQL Server

    SSL certificates are often associated with Web servers such as
    Microsoft IIS, but they are actually used in a variety of Microsoft
    applications, including Microsoft Exchange email server, Microsoft
    SharePoint collaboration server, and the Microsoft SQL Server database.
    The process of installing an SSL certificate has both common and
    application-specific steps across these applications. This final chapter
    discusses how to install an SSL certificate in Microsoft Exchange
    Server, Microsoft SharePoint Server, and Microsoft SQL Server. We begin
    with a quick overview of the common parts of the installation process,
    then discuss each application in more detail.


     
  19. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας σκοπός του συγκεκριμένου άρθρου είναι να παρουσίασουμε τον τρόπο με τον οποίο μπορούμε να κάνουμε
    publish τις δικές μας external DNS services χρησιμοποιώντας τον TMG 2010. Φυσικά κάποιος εύλογα θα ρωτήσει για ποιό λόγο θα θέλαμε να το πραγματοποιήσουμε αυτό; Απλά ο λόγος είναι ένας και μόνος Α Σ Φ Α Λ Ε Ι Α.

    Εφαρμόζοντας αυτήν την τεχνική, διασφαλίζουμε ότι δικοί μας BIND servers βρίσκονται - κρατούνται ασφαλείς στο εσωτερικό δίκτυο, χρησιμοποιώντας κανόνες για secure web publishing για όλες τις Internet facing services, έχοντας το πλεονέκτημα το οποίο απορρέει από το DNS
    application filtering του TMG 2010, χαρακτηριστικό το οποίο επιτρέπει την επιπλέον θωράκιση από επιθέσεις των δικών μας name servers. Θεωρήστε την τεχνική της DMZ παλαιά και ξεπερασμένη, σε αντίθεση με το secure publishing το οποίο αποτελεί το νέο hotness.





    Η διαδικασία αυτή είναι πάρα πολύ εύκολη στην υλοποίηση της. Οι μόνες προϋποθέσεις που απαιτούνται είναι η ύπαρξη external ip address για τον TMG 2010, καθώς επίσης ότι το εξωτερικό Firewall (external firewall), είναι ρυθμισμένο να επιτρέπει το UDP 53 inbound από το Internet.

    Κάνουμε Log In στον TMG server, και εν συνεχεία τρέχουμε την Forefront TMG management
    console.

    Κάνουμε στο Right-click Firewall Policy, και επιλέγουμε New, Non-Web Server Protocol
    Publishing Rule…
     
     

    Καταχωρούμε ένα όνομα (Name) για τον κανόνα publishing rule external dns, και εν συνεχεία κάνουμε κλικ στο Next.

     

    Εισάγουμε την εσωτερική IP διεύθυνση (internal ip.addr) του δικού μας BIND server,και εν συνεχεία κάνουμε κλικ στο Next.


     

    Από την εμφανιζόμενη drop down list, επιλέγουμε το DNS Server protocol. Μπορούμε να κάνουμε κλικ στο Properties, μετά στο Parameters έτσι ώστε να είμαστε σίγουροι ότι αυτό επιτρέπει το TCP 53
    Inbound, και το UDP 53 στο Receive και Send. Θα πρέπει να επιτρέπουμε πρόσβαση μόνονσ το UDP 53
    από το Internet. Όπως γίνεται αντιληπτό αυτό είναι σωστό. Εν συνεχεία κάνουμε κλικ στο Next.
    Σκοπός μας είναι να επιτρέψουμε την πρόσβαση στην πόρτα TCP 53 εφόσον θα χρειαστούμε να κάνουμε τα οποιαδήποτε zone transfers πάνω από το Internet… Οι κανόνες του TMG υποθέτουν πως αυτή η διαδικασία θα χρειαστεί. Μπορούμε να καθορίσουμε ένα νέο φίλτρο για τον DNS, αλλά κατά την άποψή μου αυτό στην παρούσα φάση δεν είναι απαραίτητο, εάν ποτέ χρειαστούμε να εγκαταστήσουμε έναν επιπλέον DNS server ο οποίος κάνει transfer πάνω από το Internet, διαδικασία την οποία μπορούμε να ελέγξουμε από το perimeter firewall χωρίς να χρειαστούμε να κάνουμε την οποιαδήποτε αλλαγή στον TMG.


    Επιλέγουμε την external address η οποία πρόκειται να χρησιμοποιηθεί για το DNS
    publishing.
     
     

    Κάνουμε κλικ στο Next, και αμέσως μετά κάνουμε κλικ στο Finish, εν συνεχεία κάνουμε access στα properties του συγκεκριμένου κανόνα (publishing
    rule). Εκτός και αν ο δικός μας TMG server αποτελεί την default gateway, τότε το ρυθμίζουμε με τέτοιο τρόπο έτσι ώστε τα
    requests να φαίνονται ότι έρχονται από τον TMG server.

     

    Σκοπός μας είναι να βελτιστοποιήσουμε τα default DNS application filter settings*. Για να το πραγματοποιήσουμε αυτό, επιλέγουμε το Intrusion Prevention, εν συνεχεία επιλέγουμε το Behavioural Intrusion
    Detection, μετά κάνουμε κλικ στο Configure Detection Settings for Common Network
    Attacks, και αμέσως μετά κάνουμε κλικ στο DNS Attacks tab. Κάνουμε Check στο κουτάκι του "DNS zone
    transfer" με σκοπό την επιπλέον προστασία εναντίον κακόβουλων επιθέσεων. (Στα Αγγλικά : to further protect against bad guys trying to pull your
    entire zone)
     
    Εάν για τον οποιοδήποτε λόγο χρειαστούμε έναν ακόμη DNS server ο οποίος θα κάνει "pull zone transfers over the Internet",
    θα χρειαστεί να αποεπιλέξουμε αυτή την επιλογή.


    Από το top της συγκεκριμένης κονσόλας, κάνουμε κλικ στο Apply, εισάγουμε την αλλαγή στην περιγραφή του configuration, και αμέσως μετά κάνουμε κλικ στο Apply για να ολοκληρώσουμε.

     

    *Αναγνώριση των επιθέσεων DNS (Detection of DNS attacks)

    Η πληροφορία η οποία προέρχεται αυτούσια από το TechNet, μας δίνει την δυαντότητα να αντιληφθούμε από τι επιθέσεις προστατεύει ο TMG
    τους DNS servers. Για τον λόγο αυτό παραθέτω το κείμενο στην Αγγλική γλώσσα.


    The DNS Filter, which is installed with Forefront TMG, intercepts and
    analyzes all inbound DNS traffic destined for the Internal network and
    other protected networks. If DNS attack detection is enabled, you can
    specify that the DNS Filter will check for the following types of
    suspicious activity.

    DNS host name overflow. A DNS response for a host
    name exceeds a certain fixed limit (255 bytes). Applications that do not
    check the length of the host names may overflow internal buffers when
    copying this host name, allowing a remote attacker to execute arbitrary
    commands on a targeted computer. DNS length overflow. A DNS response for an IP
    address exceeds the specified length of 4 bytes. By crafting a DNS
    response with a longer value, some applications executing DNS lookups
    will overflow internal buffers, allowing a remote attacker to execute
    arbitrary commands on a targeted computer. Forefront TMG also checks
    that the value of RDLength does not exceed the size of the rest of the
    DNS response. DNS zone transfer. A client system uses a DNS
    client application to transfer zones from an internal DNS server.
    Όταν αναγνωρίζονται offending packets, τότε αυτά απορρίπτονται, και αυτομάτως δημιουργείται ένα event
    το οποίο μας ενημερώνει ότι υπάρχει ένα DNS Intrusion alert. Μπορούμε να ρυθμίσουμε έτσι ώστε τα alerts τα εγείρονται γι' αυτά τα events, να μας ενημερώνουν άμεσα ότι αναγνωρίστηκε μια επίθεση (Attack Detection). Αντιστοίχως όταν δημιουργείται ένα DNS Intrusion event πέντε φορές κατά την διάρκεια ενός δευτερολέπτου και αφορά DNS zone transfer, τότε εγείρεται ένα DNS Zone Transfer
    Intrusion alert. Από την αρχική ρύθμιση του TMG (By default), όταν εγείρονται applicable
    predefined alerts, δεν πρόκειται να εμφανιστούν ξανά μέχρι να γίνουν reset χειροκίνητα. Είναι στην διακριτική μας ευχέρεια να ρυθμίσουμε το συγκεκριμένο alert να μας αποστέλει ένα email, ή να ενεργοποιεί μια συγκεκριμένη ενέργεια εφόσον το απαιτούμαι, ή απλά μπορούμε να χρησιμοποιούμε το logging για να κρατούμε ένα ιστορικό για το δίκτυο μας.

    Για λόγους σύνδεσης με την προηγούμενη έκδοση του TMG-2010, η διαδικασία ρύθμισης του ISA 2006 είναι σχεδόν ταυτόσιμη, με μόνη διαφοροποίηση ότι το Intrusion Detection βρίσκεται κάτω από το Configuration, στο General
    section.
  20. Jordan_Tsafaridis
    1. Εισαγωγή
    Ο Forefront TMG 2010 είναι έτσι ρυθμισμένος έτσι ώστε να αποθηκεύει το Firewall και το Web Proxy Logging σε βάση δεδομένων Microsoft SQL Server 2008 Express. Πάρα πολλοί Forefront TMG administrators έχουν την ανάγκη πρόσβασης σε πληροφορίες και δεδομένα πολύ παλαιότερα τα οποία μπορούν πολύ εύκολα να αποθηκευτούν και να είναι έτοιμα αναπάσα στιγμή προς διαχείριση στον server στον οποίο τρέχει ο Forefront TMG 2010. Εντούτοις για λόγους απόδοσης και για να μην επηρεαστεί η λειτουργικότητα του TMG είναι απαραίτητο να έχουμε έναν απλό τρόπο - μέθοδο με τον οποίο να μπορούμε να μεταφέρουμε τα log data σε έναν άλλο server για επεξεργασία. Στο άρθρο αυτό θα περιγράψουμε τον τρόπο με τον οποίο μπορούμε να εξάγουμε τα Forefront TMG SQL Express logs σε έναν αρχείο text χρησιμοποιώντας την λειτουργία SQL Express Log Export.

    2. Exporting TMG Logs

    Είναι απαραίτητο να ορίσουμε - προγραμματίσουμε ότι η διαδικασία log export process θα πρέπει να λαμβάνει χώρα σε ένα χρονικό διάστημα κατά το οποίο ο TMG δεν έχει φόρτο επεξεργασίας έτσι ώστε να αποφύγουμε το overworking του Forefront TMG log instance, με πιθανό αποτέλεσμα την διακοπή λειτουργίας ή την δυδλειτουργία του TMG λόγω της επεξεργασίας του log queue.
     
    Έτσι λοιπόν για να εξάγουμε της SQL Server Express database η οποία είναι εγκατεστημένη στον TMG, ακολουθούμε τα παρακάτω βήματα :
     

    Στον Forefront TMG κάνουμε κλικ στο All Programs / Microsoft SQL Server 2008 / Import and Export Data. Κάνουμε κλικ στο Next στο welcome window. Επιλέξτε το Data Source και την database όπως παρουσιάζεται στην εικόνα (Παρατηρήστε ότι σε αυτή την περίπτωση γίνεται εξαγωγή και του Web Proxy log) και κάνουμε κλικ στο Next για να συνεχίσουμε : Σημείωση : Να Μην Επιχειρήσετε να εξάγεται την log database η οποία είναι σε χρήση εκείνη την δεδομένη χρονική στιγμή. Η επιλογή αυτή μπορεί να έχει σαν αποτέλεσμα το κλείδωμα πρόσβασης στην βάση δεδομένων (database access contention).



     

     

     
     
     
     

    4.   Στο παράθυρο Choose Destination page, αλλάξτε - επιλέξατε το destination σε Flat File Destination, ορίστε την τοποθεσία και επιλέξτε τα options σύμφωνα με την παρακάτω εικόνα. Κάνουμε κλικ στο Next για να συνεχίσουμε.


     

     

     



     

     


     

          5.   Στο παράθυρο Specify Table Copy or Query page, αφήστε επιλεγμένη την default option (Copy data from one or more tables or views) και

                κάνουμε κλικ στο Next για να συνεχίσουμε.
    6.   Στο παράθυρο Configure Flat File Destination επιβεβαιώστε ότι το source table είναι το σωστό, επιλέγουμε “tab” στο column delimiter και κάνουμε

                κλικ στο Next για να συνεχίσουμε.



     



     

     


          7.   Στο παράθυρο Run Package, αφήνουμε επιλεγμένο το default option και κάνουμε κλικ στο Next.
          8.   Κάνουμε κλικ στο Finish για να ολοκληρώσουμε την διαδικασία και θα πρέπει να δούμε το execution summary όπως απεικονίζεται στην παρακάτω             εικόνα :




     



     

     



    3. Διαβάζοντας τα LogsΤώρα μπορούμε να ανοίξουμε το αρχείο μας (χρησιμοποιώντας το Microsoft Excel για παράδειγμα) και συνεπώς μπορούμε να επεξεργαστούμε τα δεδομένα. Μπορείτε να χρησιμοποιήσετε και το άρθρο Web Proxy Log Fields για περισσότερες πληροφορίες για κάθε πεδίο μέσα σε αυτόν τον πίνακα καθώς και τα παρακάτω άρθρα :

           Object source http://technet.microsoft.com/en-us/library/cc441680.aspx        Return code http://technet.microsoft.com/en-us/library/cc441734.aspx        Cache status http://technet.microsoft.com/en-us/library/cc441710.aspx  
    Ένα στοιχείο το οποίο θα παρατηρήσετε καθώς επεργάζεστε τα log data είναι ότι το πεδίο ClientIP δεν εμφανίζει την IP Address όπως αυτή εμφανίζεται κανονικά στον Forefront TMG log viewer.

     



     
     
     

    Ο λόγος είναι ότι το client IP address αποθηκεύεται σε
    αυτό το format διότι είναι απαραίτητο να αποθηκεύονται τόσο IPV4 όσο και IPV6
    addresses στο ίδιο field type. Αναλυτικότερα οι IPv4 και IPv6 addresses
    απεικονίζονται χρησιμοποιώντας διαφορετικού μεγέθους δεδομένα (different-sized
    data) και έχουμε διαθέσιμο μόνο ένα πεδίο (field), και έτσι ο Forefront TMG
    κωδικοποιεί τις IPv4 addressμε έναν ειδικό τρόπο. Για να έχουμε την τιμή αυτή
    σε μορφή dotted-decimal IPv4, θα πρέπει να την μετρέψουμε.

     
     
    Στο παραπάνω παράδειγμα, η τιμή C0A8019A-ffff-0000-0000-000000000000
    αναφέρεται σε μια IPv4 address. Για να μετρέψουμε την παραπάνω τιμή σε
    dotted-decimal ακολουθούμε την παρακάτω μέθοδο :
     
     
     

    ·        
    Διαχωρίζουμε τα πρώτα οκτώ ψηφία σε δεκαεξαδικά ζεύγη,
    όπως τα C0, A8, 01, 9A
     

    ·        
    Μετρέψτε αυτές τις τιμές στις αντίστοιχες δεκαδικές :
     

    C0 = 192
     

    A8 = 168
     

    01 = 1
     

    9A = 154
     

    ·     Συνενώστε τις δεκαδικές
    τιμές με την σειρά την οποία εμφανίζονται χρησιμοποιώντας ενδιάμεσα τελείες
    “.”: 192.168.1.154

     



    Ολοκληρώνοντας, αποθηκεύουμε τις IPv4 στο παρακάτω
    format: xxxxxxxx-ffff-0000-0000-000000000000.
    Για να αυτοματοποιήσουμε την διαδικασία μετατροπής, μπορούμε να δημιουργήσουμε
    μια καινούρια στήλη στο Microsoft Excel την οποία θα ονομάσουμε ClientIPV4Converted
    (ή οποιοδήποτε όνομα το οποίο θέλετε) και γράψτε την παρακάτω formula σε αυτή
    την κυψέλη (B2):



     
     
     

    =HEX2DEC(MID(A17,2))
    &"."&HEX2DEC(MID(A17,3,2))&"."&HEX2DEC(MID(A17,5,2))&"."&HEX2DEC(MID(A17,7,2))

     
     
     



    Παρατηρήστε το αποτέλεσμα :




     


     



    A



    B



    1



    ClientIP


    ClientIPV4Converted



    2



    {C0A8019A-FFFF-0000-0000-000000000000}



    192.168.1.154

     

     

     

    4. Συμπέρασμα
     
     
     

    Αυτά τα απλά βήματα
    μπορεί να είναι εξαιρετικά χρήσιμα για τους administrators έτσι ώστε να έχουν
    ταχύτατη πρόσβαση στα TMG logs σε μορφή flat file έτσι ώστε να μπορούν να τα
    διαχειριστούν κατά τον τρόπο με τον οποίο επιθυμούν. Ο σκοπός αυτού του άρθρου
    είναι να καταδείξει ότι το ενσωματωμένο εργαλείο του Microsoft SQL Server
    Express μπορεί να μας βοηθήσει στο Forefront TMG log maintenance.
     

  21. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, είναι γνωστό ότι πάρα πολύ από εμάς εργάζονται σε μικτά περιβάλλοντα. Αυτό σημαίνει ότι πρέπει να συντηρούμε υπολογιστικά συστήματα βασισμένα σε περιβάλλον Microsoft Windows, σε συνδυασμό με Linux, HP/UX, IBM AIX. Το συγκεκριμένο άρθρο σχετίζεται με την διαδραστικότητα μεταξύ Microsoft Windows Active Directory και IBM AIX, όπου το IBM AIX παρουσιάζει ένα σημαντικό κενό ασφάλειας.
     
    Για αποφυγή παρεξηγήσεων παραθέτω αυτούσιο το άρθρο στην Αγγλική γλώσσα καθώς και τα σχετικά links :
     
    http://www.cvedetails.com/vulnerability-list/vendor_id-14/product_id-17/IBM-AIX.html
     
    http://www.cvedetails.com/cve/CVE-2011-1561/
     

    Vulnerability Details : CVE-2011-1561


    The LDAP login feature in bos.rte.security 6.1.6.4 in IBM AIX 6.1, when
    ldap_auth is enabled in ldap.cfg, allows remote attackers to bypass
    authentication via a login attempt with an arbitrary password.


    Publish Date : 2011-04-05 Last Update Date : 2011-04-05












    Collapse All
     
    Expand All
     
    Select
     
    Select&Copy
     

    Scroll To 


    Comments 

    External Links 

    Click here if you can't see the dropdown menus or if you want to expand them now
     
     


    -
    CVSS Scores & Vulnerability Types


    Cvss Score 6.8 Confidentiality Impact Partial
    (There is considerable informational disclosure.) Integrity Impact Partial
    (Modification of some system files or
    information is possible, but the attacker does not have control over
    what can be modified, or the scope of what the attacker can affect is
    limited.) Availability Impact Partial
    (There is reduced performance or interruptions in resource availability.) Access Complexity Medium
    (The access conditions are somewhat specialized. Some preconditions must be satistified to exploit) Authentication Not required
    (Authentication is not required to exploit the vulnerability.) Gained Access None Vulnerability Type(s) Bypass a restriction or similar CWE ID 287  



    -
    Products Affected By CVE-2011-1561

    # Product Type Vendor Product Version Update Edition Language

    1 OS IBM AIX 6.1


    Details Vulnerabilities


    -
    Number Of Affected Versions By Product



    Vendor

    Product

    Vulnerable Versions
    IBM AIX
    1  
     



    -
    References For CVE-2011-1561


    http://aix.software.ibm.com/aix/efixes/security/ldapauth_advisory.asc CONFIRM

    http://secunia.com/advisories/43968
    SECUNIA 43968
    http://securitytracker.com/id?1025273
    SECTRACK 1025273
    http://www-01.ibm.com/support/docview.wss?uid=isg1IZ97416
    AIXAPAR IZ97416
    http://www.vupen.com/english/advisories/2011/0836
    VUPEN ADV-2011-0836  
     


     







    -
    Metasploit Modules Related To CVE-2011-1561

    There are not any metasploit modules related to this vulnerability (Please visit www.metasploit.com for more information)
     
  22. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας,
     
    Στις 26-4-2011, έλαβε χώρα ένα εξαιρετικά εμπεριστατομένο τεστ αξιοπιστίας και ασφάλειας μεταξύ Microsoft Internet Explorer 9 και Google Chrome. Σας παραθέτω παρακάτω τα αποτελέσματα αυτού του τεστ αυτούσιο στην Αγγλική γλώσσα καθώς και τα σχετικά link στο διαδίκτυο. (Ελπίζω να σας φανεί χρήσιμο)
     
    Last week I looked at a fascinating sample of malware that specifically targeted users of Google Chrome.
    Over the past few days, I’ve been looking more closely at this
    particular malware attack, which appears to be widespread and extremely
    persistent.
     
     
     
    Social engineering has become the dominant method of distribution for
    fake antivirus software. And most modern browsers, with one exception,
    do a terrible job of dealing with this type of threat. Current builds of
    Chrome display a terrible flaw that puts you at greater risk than its
    competitors. In my testing, a malware author was able to exploit Chrome
    in four easy clicks. In stark contrast, Internet Explorer 9 used some
    new technology to flag the exact same sites and files as suspicious,
    providing unmistakable warnings that have been shown to stop 95% of
    these attacks in their tracks.
     
     
     
    I’ve captured the experience for both browsers in these two videos and in an accompanying screenshot gallery
    so you can see for yourself. And if you make it to page 3, you’ll read
    about the new reputation-based technology that’s given IE9 the lead.
     
     
     
    First a little background. Fake antivirus software has been around for
    at least seven years, but this category of attack has exploded in
    popularity among bad guys in recent months. The technique is simple
    social engineering, and it works by scaring the target into thinking
    their system has been infected with a virus (or a whole bunch of them)
    and then offering to fix the problem—for a fee. The fake AV software
    often downloads additional Trojans and can actually cause the sort of
    problems it claims to be solving.
     
     
     
    Here’s how it goes when you’re using Google Chrome 10 on Windows 7.
    Notice the attention to detail that the malware authors used in this
    attack. The dialog boxes and warning screens certainly look like they’re
    part of Google Chrome. (I recommend clicking the full-screen button in
    the lower right corner of the video clips below so you can see all the
    details in each one.)
     
     
     

     
     
    Now here’s an attack from the same set of search results, this time
    gathered using Internet Explorer 9. The fake scan is a pretty decent
    imitation of a Windows 7 security screen. But the result is different.
     
     
     

     
     
     
    By Ed Bott | April 25, 2011, 7:23pm PDT

    Malware authors target Google Chrome
    Every time I write about Internet Explorer, it’s usually a matter of minutes—sometimes even seconds—until someone in the Talkback
    section proclaims, smugly, that they’ve switched to Google Chrome or
    Firefox and are therefore immune from malware attacks.

    They’re wrong, and malware authors have begun preying on users of
    alternative browsers to push dangerous software, including Trojans and
    scareware. The problem is that most malware attacks aren’t triggered by
    exploits that target vulnerabilities in code. Instead, according to one recent study,
    “users are four times more likely to come into contact with social
    engineering tactics as opposed to a site serving up an exploit.”

    Follow-up: Malware attempts that use Apple-focused social
    engineering are now in the wild. I just found one via Google Image
    search. See for yourself: What a Mac malware attack looks like.

    I found a perfect example yesterday, thanks to an alert from
    Silverlight developer Kevin Dente. He had typed in a simple set of
    search terms—Silverlight datagrid reorder columns—at Google.com, using the Google Chrome browser on Windows. You can follow along with what happened next in the screenshot gallery that accompanies this post.

    The first page of Google search results included several perfectly
    good links, but the sixth result was booby trapped. Clicking that link
    in Google Chrome popped up this dialog box:



    That led to a basic social engineering attack, but this one has a
    twist. It  was customized for Chrome. If you’ve ever seen a Google
    Chrome security warning, you’ll recognize the distinctive, blood-red
    background, which this malware author has duplicated very effectively.



    After the fake scan is complete, another dialog box comes up, warning
    that “Google Chrome recommends you to install proper software.”



    That’s terrible grammar, and this social-engineering attack is likely
    to fail with an English-speaking victim, who should be suspicious of
    the odd wording. But a user whose primary language is something other
    than English might well be fooled. And the malware author has
    anticipated the possibility that you might click Cancel in the dialog
    box. If you do, it still tries to download the malicious software.

    Each time I visited this page, the download I was offered was
    slightly different. My installed antivirus software (Microsoft Security
    Essentials) didn’t flag it as dangerous. When I submitted it to VirusTotal.com,
    only five of the 42 engines correctly identified it as a suspicious
    file. Less than 8 hours later, a second scan at VirusTotal was a little
    better. This time, eight engines confirmed that the file was suspicious.
    Microsoft’s virus definitions had been updated and a scan identified
    the rogue file as Win32/Defmid.



    Panda and Prevx identified the file as “Suspicious” and “Medium risk
    malware,” respectively. BitDefender, F-Secure, and GData flagged it as
    “Gen:Trojan.Heur.FU.quX@am@e97ci.” AntiVir detected it as
    “TR/Crypt.XPACK.Gen.” Kaspersky says it is
    “Trojan-Downloader.Win32.FraudLoad.zdul.” Every other antivirus engine,
    as of a few minutes ago, waved this suspicious executable right through.

    Meanwhile, back in the browser, Google Chrome’s warnings are
    completely generic. If you download the software it shows up in the
    Downloads folder looking perfectly innocent.

    Interestingly, this set of “poisoned” search terms also affected
    Bing, although the dangerous search result was on a different site,
    which didn’t show up until the fifth page of search results. And the
    download that it offered was, apparently, a completely different
    Trojan/scareware product. But the end result would have been the same,
    regardless of which browser I was using.

    This case study shows that malware authors are beginning to adapt to
    changing habits of PC users. There’s nothing inherently safer about
    alternative browsers—or even alternative operating systems, for that
    matter—and as users adapt, so do the bad guys.

    Be careful out there.
     
     
  23. Jordan_Tsafaridis
    Στο δεύτερο μέρος της σειράς άρθρων τα οποία αφορούν τον DPM 2010, θα ασχοληθούμε με την την εγκατάσταση, ρύθμιση και χρήση του DPM 2010 για να υλοποιήσουμε backup και restore σε virtual machines και Hyper-V servers.
    Εισαγωγή

    Όπως αναφέρθηκα και στο εισαγωγικό κείμενο, ο σκοπός του συγκεκριμένου άρθρου είναι η ρύθμιση των αποθηκευτικών μέσων - configuring storage and settings - στον DPM 2010 έτσι ώστε να είναι δυνατόν πραγματοποιήσουμε backup και restore σε Hyper-V servers και virtual machines. Το συγκεκριμένο άρθρο προϋποθέτει ότι έχουμε ολοκληρώσει την εγκατάσταση του DPM 2010 όπως αυτή περιγράφεται λεπτομερειακά στο πρώτο άρθρο της σειράς.
    Τώρα αυτό το οποίο χρειαζόμαστε είναι να ρυθμίσουμε τον DPM 2010 σε σχέση με τα διαθέσιμα αποθηκευτικά μέσα και εν συνεχεία να διαμορφώσουμε τις ρυθμίσεις του έστι ώστε να μπορούμε να κάνουμε backup και restore των Hyper-V servers οι οποίοι είναι εγκατεστημένοι στο περιβάλλον εργασίας μας.

    Απαιτήσεις σε αποθηκευτικά μέσα (Storage Requirements)


    Ο DPM απαιτεί τα αποθηκευτικά μέσα (storage) να είναι τοπικά συνεδεμένα (locally attached),  πριν αυτά χρησιμοποιηθούν από τον DPM σαν backup storage. Ο DPM μπορεί να χρησιμοποιήσει direct-attached storage
    (DAS), ή storage area network (SAN) devices, τα οποία συνδέονται με το υπολογιστικό σύστημα στο οποίο είναι εγκατεστημένος ο DPM διαμέσου
    iSCSI ή fibre channel connections. Ο DPM δεν μπορεί να χρησιμοποιήσει κάποιο storage το οποίο έχει αναγνωριστεί ως removable media όπως USB, IEEE 1394 (Firewire), ή άλλα μέσα όπως μια compact flash. Αυτό γίνεται άμεσα αντιληπτό διότι αποθηκευτικά μέσα αυτής της μορφής δεν βρίσκονται πάντοτε συνδεδεμένα στο υπολογιστικό σύστημα, όταν αυτό τα χρειάζεται, αλλά κυρίως γιατί δεν υποστηρίζουν το VSS.
    Οποιαδήποτε volumes τα οποία έχουν ρυθμιστεί ως DPM storage πρέπει να είναι dedicated στον
    DPM, χωρίς να χρειάζεται η συνολική χωρητικότητα του αποθηκευτικού μέσου να είναι σεσμευμένη (allocated) για χρήση από τον DPM.

    Storage Pools


    Ένα Storage pool αποτελείται από έναν ή περισσότερους δίσκους ρυθμισμένους σε μια ομάδα (set) τους οποίους ο DPM χρησιμοποιεί για να αποθηκεύσει replicas και recovery points. Πριν από την πραγματοποίηση του πρώτου backup με τον DPM, ένα storage pool πρέπει να δημιουργηθεί, στο οποίο προστίθενται ένας ή περισσότεροι δίσκοι. Μία replica είναι ένα πλήρες αντίγραφο (copy) του protected
    data source το οποίο βρίσκεται αποθηκευμένο (residing) στον DPM server. Μία replica δημιουργείται για κάθε
    protected data source το οποίο έχει οριστεί μέσα σε ένα protection group. Η δυνατότητα μετεγκατάστασης (Co-location) επιτρέπει πολλαπλές replicas από διαφορετικά protected data sources τα οποία είναι αποθηκευμένα (residing) στο ίδιο volume. Ένα protection group αποτελεί μια συλλογή από protected data
    sources τα οποία μοιράζονται μια κοινή ρύθμιση και ένα χρονοδιάγραμμα (common configuration and schedule) για την προστασία των δεδομένων.

    Όταν προσθέτουμε έναν δίσκο σε ένα storage pool, αυτός ο δίσκος δεν πρέπει να έχει κανένα
    partition. Ο DPM αναλαμβάνει πλήρως την διαχείριση του δίσκου,
    εμπεριέχοντας το format του δίσκου, διαγράφοντας τα οποιαδήποτε δεδομένα βρίσκονταν αποθηκευμένα σε αυτόν πριν αυτός προστεθεί στο συγκεκριμένο storage pool. Επίσης δεν είναι δυνατόν να χρησιμοποιήσουμε έναν system disk στον DPM server ως storage pool storage.

    Προσθέτοντας δίσκους στο Storage Pool


    Όπως τόνισα και προηγουμένως, οι όποιοι δίσκοι πρόκειται να χρησιμοποιηθούν από τον DPM ως storage των replicas και των recovery points, δεν πρέπει να χρησιμοποιούνται από τον DPM server.

    Χρησιμοποιήστε την παρακάτω διαδικασία για να επαληθεύσεται ότι οι δίσκοι έχουν ρυθμιστεί σωστά για να μπορούν να προστεθούν στο DPM storage pool.

    Προσθέστε έναν physical disk, iSCSI LUN ή SAN LUN στον DPM server
    Aνοίγουμε το Disk Management MMC (diskmgmt.msc)

    Figure
    1

    Βρίσκουμε τον δίσκο τον οποίο θέλουμε να προσθέσουμε στο Storage Pool μέσα από την λίστα των δίσκων ο οποίος είναι συνήθως στο τέλος της οθόνης (bottom of the screen). Ο δίσκος θα πρέπει να παρουσιάζεται ως offline.

    Figure
    2

    Κάνουμε δεξί κλικ στο disk button για τον συγκεκριμένο δίσκο και επιλέγουμε Online. Η διαδικασία αυτή μετατρέπει τον δίσκο σε κατάσταση online στον server σε μορφή raw disk, χωρίς να ειναι εγκαινιασμένος (not initialized) και χωρίς να έχουν καθοριστεί partitions.

    Figure
    3

    Σε αυτό το σημείο έχουμε έναν δίσκο ο οποίος είναι έτοιμος να προστεθεί στο συγκεκριμένο storage
    pool.


    Figure
    4

    Χρησιμοποιούμε την παρακάτω διαδικασία για να προσθέσουμε τον δίσκο στο DPM 2010 storage
    pool:

    Ανοίγουμε το DPM 2010 administrative console

    Figure
    5

    Κάνουμε κλικ στο Management button

    Figure
    6

    Εν συνεχεία κάνουμε κλικ στο Disks Tab

    Figure
    7

    Κάνουμε κλικ στο add option στο δεξιό (right) menu για να προσθέσουμε δίσκους στο storage pool.


    Figure
    8

    Θα παρατηρήσετε ότι ο δίσκος τον οποίο κάνατε online εμφανίζεται στην Available Disks list στα αριστερά της οθόνης. Κάνουμε κλικ στον δίσκο και τον επιλέγουμε, και αμέσως μετά κάνουμε κλικ στο Add για να προσθέσουμε τον δίσκο στην επιλεγμένη λίστα.


    Figure
    9

    Κάνουμε κλικ στο OK για να προσθέσουμε τον δίσκο στο storage pool

    Figure
    10

    Μας παρέχεται η δυνατότητα να προσθέσουμε πολλαπλούς δίσκους στο storage pool κατά την αρχική ρύθμιση (initial
    configuration), ή να προσθέσουμε δίσκους αργότερα ακολουθώντας την ίδια διαδικασία.

    Custom Volumes


    Δεδομένου του ότι το DPM storage pool αποτελεί την ενδεδειγμένη λύση για τις περισσότερες εφαρμογές, εντούτοις μερικές φορές θέλουμε να έχουμε καλύτερο έλεγχο όσον αφορά το storage το οποίο χρησιμοποιείται για ένα συγκεκριμένο protection
    group ή γιατί θέλουμε να ορίσουμε multiple tiers of storage για λόγους απόδοσης (performance
    requirements). Το Storage pool δεν έχει την δυνατότητα να δημιουργήσει multiple tiers of storage, αλλά υπάρχει ένας τρόπος να δημιουργήσουμε ένα custom volume το οποίο θα μπορεί να χρησιμοποιηθεί για replica ή ως recovery point storage.

    Ένα custom volume είναι ένα volume το οποίο δεν έχει γίνει assigned στο storage
    pool, αλλά παρόλα αυτά είναι διαθέσιμο στον DPM server.  Ένας δίσκος ή ένα LUN μπορούν να διασπαστούν σε πολλαπλά volumes. Κάθε ένα από αυτά τα volumes μπορεί να χρησιμοποιηθεί ως custom
    volume.

    Για να μπορέσουμε να χρησιμοποιήσουμε τα custom volumes θα πρέπει για ένα protection group data
    source, να προσθέσουμε δύο volumes στον DPM server. Το ένα volume θα χρησιμοποιηθεί για την αποθήκευση των replicas και το άλλο volume θα χρησιμοποιηθεί για την αποθήκευση των recovery
    points. Επιπροσθέτως θα πρέπει να έχουμε δύο custom volumes για κάθε data
    source τα οποία θέλουμε να προστατεύσουμε και εμπεριέχονται μέσα σε ένα protection group.

    Για παράδειγμα, εάν έχουμε επιλέξει να προστατεύσουμε το C: volume του DPM
    server και το system state, θα χρειαστούμε δύο custom volumes για να προστεύσουμε το C: και δύο επιπλέον custom volumes για να προστεύσουμε το system
    state.  Σημειώστε ότι είναι δυνατόν να προστετεύσουμε ένα ή περισσότερα μέλη (members) μέσα σε ένα protection group κάνοντας χρήση custom volumes ενώ ταυτόχρονα αφήνουμε τα εναπομείναντα data
    sources να προστατεύονται χρησιμοποιώντας το storage pool.

    Για να δημιουργήσουμε ένα custom volume, διαδικασία την οποία μπορείται να εκλάβεται ως εργασία (assignment), ακολουθούμε τα παρακάτω βήματα :

    Προσθέτουμε δίσκους/LUNs στον DPM server ο οποίος χρησιμοποιείται για την δημιουργία custom volumes
    Μετρέπουμε τους Δίσκους/LUNs σε κατάσταση online
    Δημιουργούμε simple volumes σε κάθε disk/LUN. Έχουμε επίσης την δυαντότητα να δημιουργήσουμε ένα single volume ανά disk/LUN ή μπορούμε να δημιουργήσουμε multiple volumes.
    Όταν προχωρούμε στην διαδικασία του simple volume wizard, δεν πρέπει να κάνουμε assign drive letters στα volumes, αλλά μπορούμε να κάνουμε format σε αυτά.

    Επίσης θα πρέπει να βεβαιωθούμε ότι έχουμε κάνει assign διακριτά names στα volumes έτσι ώστε να γνωρίζουμε εκ των προτέρων γιατί εργασία πρόκειται να χρησιμοποιηθούν.
    Αριθμομηχανή αποθηκευτικών χώρων (Storage Calculator)


    Η σχεδίαση και η σωστή πρόβλεψη για τις απαιτήσεις σε αποθηκευτικά μέσα (storage requirements), είναι ένα εξαιρετικά σημαντικό βήμα για την υλοποίηση ενός περιβάλλοντος εργασίας DPM 2010 server. Συνεπώς όχι μόνον θα πρέπει να καθορίσουμε εξ αρχής το σωστό tier of storage το οποίο θα απαιτήσει το κάθε data source, αλλά ταυτόχρονα θα πρέπει να σχεδιάσουμε και να καταγράψουμε το μέγεθος του storage pool και κάθε ένα ξεχωριστά τα οποιαδήποτε custom volumes θα χρειαστούν.

    Η Microsoft έχει δημιουργήσει πριν από εμάς για εμάς ένα storage calculator tool το οποίο μπορεί να μας βοηθήσει έτσι ώστε να ελαχιστοποιήσουμε τον χρόνο εργασίας και το stress της διαδικασίας του storage planning.  Το storage calculator είναι διαθέσιμο από την Microsoft χρησιμοποιώντας αυτό το link.

    Το storage calculator είναι ένα Excel spreadsheet το οποίο μας επιτρέπει να εισάγουμε πληροφορίες για τον DPM server, τους Hyper-V hosts, και τις
    virtual machines τις οποίες θέλουμε να προστατεύσουμε. Τα αποτελέσματα του
    calculator αποτελούν ένα storage model το οποίο μπορεί να χρησιμοποιηθεί ως την βάση για τον σχεδιασμό ενός καινούριου περιβάλλοντος DPM 2010 server.

    Συμπέρασμα


    Σε αυτό το άρθρο επικεντρωθήκαμε στην ρύθμιση των αποθηκευτικών μέσων (storage) στον DPM 2010. Η διαδικασία περιλαμβάνει την πρόσθεση disks/LUNs στον DPM server έστι ώστε αυτοί να χρησιμοποιηθούν σε ένα storage
    pool ή ως custom volumes, την δημιουργία ενός storage pool, και τέλος την δημιουργία custom
    volumes. Στο επόμενο άρθρο της σειράς DPM 2010 θα ασχοληθούμε με την δημιουργία protection groups για το backup και recovery των Hyper-V R2 servers.
     
  24. Jordan_Tsafaridis
    Εισαγωγή

    Όταν κάνουμε εγκατάσταση της τεχνολογίας Hyper-V στο data center στο οποίο εργαζόμαστε, ή δημιουργούμε εργαστηριακά περιβάλλοντα εργασίας, είναι απαραίτητο να έχουμε και μια λύση για την δημιουργία αντιγράφων ασφαλείας τόσο για τις virtual machines όσο και για τους Hyper-V servers. Για τον λόγο αυτό η Microsoft πρόσφατα έδωσε στην κυκλοφορία την τελευταία έκδοση του δικού της enterprise
    backup and disaster recovery λογισμικού το οποίο είναι ο Data Protection Manager 2010. Το συγκεκριμένο άρθρο αποτελεί το πρώτο μιας σειράς άρθρων η οποία σκοπό έχει να εξηγήσει το πως κάνουμε install, configure, και χρησιμοποιούμε τον DPM 2010 έτσι ώστε να πραγματοπούμε backup και restore σε virtual machines και Hyper-V servers.
    Απαιτήσεις για την Εγκατάσταση


    Πριν ξεκινήσουμε την εγκατάσταση του DPM 2010 θα πρέπει να είμαστε σίγουροι ότι ο server στον οποίο θα λάβει χώρα η εγκατάσταση θα πρέπει πληρεί ορισμένες προδιαγραφές. Στην συγκεκριμένη περίπτωση, η εγκατάσταση του DPM 2010 θα γίνει σε έναν server με λειτουργικό σύστημα Windows Server 2008 R2
    Standard ή Enterprise Edition (Η έκδοση Datacenter επίσης υποστηρίζεται).

    Απαιτήσεις Συστήματος (System Requirements)

    Για την εγκατάσταση του DPM 2010 απαιτούνται τα παρακάτω :

    64-bit version of Windows Server 2008 or 2008 R2
    4GB RAM (recommended)
    2.3 GHz quad core CPU
    System drive installation space of 3GB for installing1.  
    DPM installation files
    2.   Database files
    3.   SQL 2008

    PowerShell 2.0
    .Net Framework 3.5.1
    Single Instance Store (SIS)
    Windows Installer 4.5
    Οι ελάχιστες προδιαγραφές για τον server στον οποίο πρόκειται να εγκατασταθεί ο DPM 2010 είναι υπεραρκετές για την πλειοψηφία των εταιριών. Εν τούτοις ο DPM 2010 έχει υψηλές απαιτήσεις τόσο σε χωρητικότητα δίσκων όσο και σε disk I/O performance, όταν πρόκειται να εγκατασταθεί σε απαιτητικά περιβάλλοντα εργασίας.
     

    Ο DPM 2010 απαιτεί μια εγκατάσταση ενός dedicated SQL server για την αποθήκευση των πληροφοριών του backup. Η εγκατάσταση της SQL μπορεί να βρίσκεται σε κάποιο άλλο σύστημα ή τοπικά στον ίδιο server στον οποίο θα εγκατασταθεί και ο DPM 2010, η δε έκδοση της SQL θα πρέπει να είναι SQL 2008
    (Standard ή Enterprise). Είναι χαρακτηριστικό να αναφέρουμε ότι στις περισσότερες εταιρίες υπάρχει εγκατεστημένη μια βάση SQL η οποία συνήθως βρίσκεται σε dedicated servers. Για να καλύψουμε όλες τις περιπτώσεις στο συγκεκριμένο άρθρο θα αναφερθούμε στην εγκατάσταση του DPM 2010 τόσο με remote όσο και με local instance του SQL 2008. Συστήνεται επίσης η χρήση της SQL 2008 64-bit η οποία είναι εγκατεστημένη σε ένα remote
    instance όταν πρόκειται για ένα βεβαρημένο περιβάλλον εργασίας για τον DPM 210 server.

    Απαιτήσεις για Active Directory


    Ο DPM 2010 απαιτεί έναν περιβάλλον Windows 2008 Active Directory για την εγκατάστασή του. Ο server στον οποίο ο DPM πρόκειται να εγκατασταθεί θα πρέπει να είναι member ενός Active Directory domain, καθώς επίσης και το account το οποίο θα χρησιμοποιήσουμε για να εγκαταστήσουμε τον
    DPM θα πρέπει να είναι ένα domain user account το οποίο έχει local administrator
    privileges. Θα πρέπει να τονίσουμε ότι μετά την εγκατάσταση θα πρεπει να είμαστε ένας χρήστης domain με local
    administrative access για να μπορούμε να τρέξουμε την DPM 2010 console.

    Έτσι λοιπόν είναι δυνατό το backup και το restore σε servers οι οποίοι βρίσκονται στο ίδιο
    forest ή σε ομάδα από forests. Στην περίπτωση του backup ή restore across forests θα πρέπει να έχουμε forest level trusts, και το forest level θα πρέπει να είναι σε Windows 2008
    forest mode.

    Περιορισμοί στην Εγκατάσταση


    Ο DPM έχει επίσης και ορισμένους περιορισμούς για την εγκατάστασή τουσε συνδυασμό με τις απαιτήσεις για την εγκατάσταση. Ο DPM 2010 έχει σχεδιαστεί να τρέχει σε έναν dedicated
    server. Επίσης ο DPM 2010 δεν μπορεί να εγκατασταθεί στους παρακάτω τύπους servers :

    Domain Controller
    Cluster Services cannot be installed
    System Center Operations Manager
    Exchange Server
    Εγκατάσταση Remote Instance του SQL 2008


    Εάν θέλουμε να χρησιμοποιήσουμε ένα remote instance του SQL 2008, τότε αυτό θα πρέπει να ικανοποιεί τις παρακάτω απαιτήσεις κατά την εγκατάσταση.

    Νέα εγκατάσταση του SQL 2008
    Απαιτούμενα χαρακτηριστικά1.   Database services (and all
    subsections)
    2.   Reporting Services
    3.   Management tools –
    complete
    4.   SQL Client Connectivity SDK

    Windows Authentication
    Εγκατάσταση Single Instance Store


    Ο DPM 2010 απαιτεί την υπηρεσία Single Instance Store (SIS) service έτσι ώστε να περιορίσει δραστικά το storage overhead όταν αποθηκεύονται duplicate files. Είναι δε προτιμότερο να επανεγκαταστήσουμε την υπηρεσία Single Instance Store πριν από την εγκατάσταση του DPM
    2010. Εάν δεν εγκαταστήσουμε εκ των προτέρων την υπηρεσία SIS τότε ο DPM θα την εγκαταστήσει για μας, κατά το βήμα της εγκατάστασης με την χαρακτηριστική ονομασία prerequisite installation step, αλλά θα απαιτήσει μετά την εγκατάσταση της συγκεκριμένης υπηρεσίας την επανεκκίνηση του συτήματος, με αποτέλεσμα να είμαστε υποχρεωμένοι να ξεκινήσουμε την εγκατάσταση του DPM από την αρχή.
     

    Για να εγκαταστήσουμε την υπηρεσία SIS, χρησιμοποιούμε την παρακάτω command line:

    OCSetup.exe SIS-Limited /quiet

    Η παραπάνω εντολή θα εγκαταστήσει την υπηρεσία SIS και εν συνεχεία θα επανεκκινήσει τον υπολογιστή. Εάν επιθυμούμε να έχουμε τον έλεγχο όσον αφορά την επανεκκίνηση του συστήματος τότε δεν έχουμε παρά να προσθέσουμε την επιλογή /Norestart command line χάρις την οποία η επανεκκίνηση θα γίνει χειροκίνητα από εμάς.

    Εγκατάσταση του DPM 2010 με τοπική SQL 2008


    Ακολουθούμε τα παρακάτω βήματα για την εγκατάσταση του DPM 2010 σε συνδυασμό με τοπικό instance του SQL
    2008. Σημειώστε ότι δεν είναι απαραίτητη η επανεγκατάσταση του SQL 2008 διότι η εγκατάσταση του DPM
    2010 περιλαμβάνει και την εγκατάσταση του SQL 2008.

    Κάνουμε logon στον server και εγκαταστούμε τον DPM 2010 κάνοντας χρήση ενός domain account ο οποίος έχει local administrative privileges
    Εισαγάγουμε το DPM 2010 DVD
    Στην DPM 2010 Splash screen, κάνουμε κλικ στο Install Data Protection Manager


    Figure 1

    Στην σελίδα Microsoft License Terms, διαβάζουμε το κείμενο της συμφωνίας (agreement), επιλέγουμε I accept the license terms and conditions, και εν συνεχεία κάνουμε κλικ στο OK.


    Figure 2

    Ορισμένα προαπαιτούμενα χαρακτηριστικά (prerequisites) θα εγκατασταθούν πρώτα, και μετά θα ξεκινήσει η εγκατάσταση.
     

    Στην σελίδα Welcome, κάνουμε κλικ στο Next

    Figure 3

    Στην σελίδα Prerequisites Check, ο εγκαταστάτης του DPM θα εγκαταστήσει τα basic components και θα αξιολογήσει (validate) το hardware στο οποίο γίνεται η εγκατάσταση. Επιπροσθέτως θα προχωρήσει σε έλεγχο έτσι ώστε να διαπιστωθεί εάν είναι εγκατεστημένα το .Net Framework 3.5.1, το PowerShell 2.0 και το Single Instance Store (SIS). Στην περίπτωση κατά την οποία τα παραπάνω δεν είναι εγκατεστημένα τότε θα τα εγκαταστήσει ως μέρος της εγκατάστασης του DPM 2010.
    Εάν η υπηρεσία SIS δεν είναι εγκατεστημένη, τότε η εγκατάσταση του DPM θα απαιτήσει την επανεκκίνηση του συστήματος μετά την ολοκλήρωση της εγκατάστασης της υπηρεσίας SIS.


    Figure 4

    Κάνετε κλικ στο Next για να συνεχίσει η εγκατάσταση.
    Στην σελίδα Product Registration, εισάγουμε το Username και το όνομα της εταιρίας-Company που επιθυμούμε και κάνουμε κλικ στο Next.

    Figure 5

    Στην σελίδα Installation Settings, επιλέγουμε τον τύπο εγκατάστασης του SQL (dedicated or existing) και μετά κάνουμε κλικ στο Next.

    Figure 6

    Για την συγκεκριμένη εγκατάσταση θα χρησιμοποιήσουμε την επιλογή dedicated SQL installation.
    Σας παρακαλώ να ανατρέξετε στα εγχειρίδια χρήσης του DPM 2010 για τις επιλογές οι οποίες υπάρχουν στην περίπτωση κατά την οποία θέλουμε να χρησιμοποιήσουμε μια ήδη υπάρχουσα εγκατάσταση βάσης δεδομένων SQL.

    Στην σελίδα Security Settings, εισάγουμε το password για την τοπική βάση δεδομένων SQL server service acct την οποία ο DPM πρόκειται να δημιουργήσει, και εν συνεχεία κάνουμε κλικ στο Next

    Figure 7

    Στην σελίδα Microsoft Update Opt-In, επιλέγουμε εφόσον θέλουμε να γίνεται ή να μην γίνεται έλεγχος για security updates του DPM και μετά κάνουμε κλικ στο Next.

    Figure 8

    Στην σελίδα Customer Experience, επιλέγουμε εάν θέλουμε να συμμετάσχουμε ή όχι στο Microsoft Customer Experience program, και μετά κάνουμε κλικ στο Next.

    Figure 9

    Στην σελίδα Summary of settings, παρουσιάζεται ένας συνοπτικός πίνακας των ρυθμίσεων-επιλογών για την εγκατάσταση του DPM και εν συνεχεία κάνουμε κλικ στο Install για να ξεκινήσει η εγκατάσταση.

    Figure 10

    Η εγκατάσταση ξεκινά.


    Figure 11

    Έτσι τώρα έχουμε πλέον εγκαταστήσει τον DPM 2010.


    Figure 12

    Συμπέρασμα


    Ολοκληρώνοντας, με το συγκεκριμένο άρθρο καταδείξαμε ότι η εγκατάσταση του DPM 2010 με σκοπό να προστατεύσουμε Hyper-V R2
    servers και virtual machines είναι απλή και εύκολη διαδικασία. Στο επόμενο άρθρο το οποίο θα αφορά τον DPM 2010, θα παρουσιάσουμε τις ρυθμίσεις οι οποίες απαιτούνται έτσι ώστε να κάνουμε backup και recovery σε Hyper-V R2 servers και virtual
    machines.
  25. Jordan_Tsafaridis
    Οι Security administrators ενδεχομένως να αντιμετωπίσουν το ακόλουθο μήνυμα IP spoofing alert στον Forefront TMG 2010 firewall τον οποίο έχετε εγκατεστημένο:
     
    Alert: IP Spoofing
    Description: Forefront TMG 2010 detected a possible spoof attack from the IP address 169.254.x.x. A spoof attack occurs when an IP address that is not reachable through the network adapter on which the packet was received. If logging for dropped packets is enabled, you can view the details of this attack in the Firewall log in Forefront TMG 2010 log viewer. If the IP address belongs to a VPN client, this event may be ignored.

    Αυτό το alert συμβαίνει διότι ο Forefront TMG 2010 firewall έλαβε ένα πακέτο δεδομένων από το internal network interface από έναν πελάτη (client – ο οποίος μπορεί να είναι server, workstation, ή ένας άλλος host) ο οποίος δεν είχε στατική διεύθυνση (statically assigned IP address) και συνάμα δεν ήταν δυνατόν να λάβει μια διεύθυνση από έναν διακομιστή DHCP, με αποτέλεσμα ο πελάτης να επιλέξει μια IP address από το Automatic Private IP Address Assignment (APIPA) address range όπως αυτό καθορίζεται στο πρότυπο RFC 3927.
    Μπορείτε με απόλυτη ασφάλεια να αγνοήσετε αυτό το alert, ή μπορείτε να το επιλύσετε το θέμα αυτό προσθέτοντας το δεσμευμένο δίκτυο APIPA το οποίο είναι το 169.254.0.0/16 στο εσωτερικό δίκτυο (Internal network definition). Αυτό μπορεί να επιτευχθεί ανοίγοντας το Forefront TMG 2010 management console όπου επιλέγουμε (highlighting) το Networking node στο navigation tree, και εν συνεχεία κάνουμε δεξί κλικ στο Internal network, όπου επιλέγοντας το Addresses tab, κάνουμε αμέσως κλικ στο Add Private button έχουμε την δυνατότητα να επιλέξουμε την δέσμη διευθύνσεων 169.254.0.0 – 169.254.255.255.

    Σημείωση: Είναι δυνατόν να επιλύσουμε το συγκεκριμένο πρόβλημα απλά απενεργοποιώντας τα alerts για τα IP spoofing attempts. Βεβαίως, αυτό αποτελεί λανθασμένη πρακτική ασφαλείας (bad security practice) και θα πρέπει σε κάθε περίπτωση να αποφεύγεται.
    Μπορείτε να λάβετε ως σημείο αναφοράς το προηγούμενό μου blog post όπου εκεί καταδεικνύω ότι ο καλύτερος τρόπος για να ρυθμίσουμε το εσωτερικό δίκτυο στον Forefront TMG 2010 είναι να επιλέξουμε το Add Adapter option. Αυτή παραμένει η σωστή επιλογή. Παρόλα αυτά, αυτό αποτελεί μία περίπτωση η οποία περιλαμβάνεται σε εκείνες τις σπάνιες περιπτώσεις όπου το ζητούμενο είναι η προσθήκη ενός επιπλέον network address space στο εσωτερικό δίκτυο έτσι ώστε να συρρικνώσουμε τον όγκο των IP spoofing alerts τα οποία δημιουργούνται από τον Forefront TMG 2010 firewall.
    Το επακόλουθο αυτής της ενέργειάς μας για να υλοποιήσουμε αυτήν την αλλαγή είναι είναι ότι θα λάβουμε ένα μεγαλοπρεπές Configuration error alert το οποίο θα μας πληροφορεί ότι το εσωτερικό δίκτυο δεν συσχετίζεται με τους network adapters οι οποίοι ανήκουν σε αυτό.

    Ουσιαστικά αυτό το οποίο καταφέραμε είναι να ανταλλάξουμε ένα ενοχλητικό alert με ένα άλλο. Εντούτοις ο θόρυβος ο οποίος δημιουργήθηκε από τα IP spoofing alerts από τους πελάτες με APIPA IP addresses ενδεχομένως να ορίζει ότι αυτή η ανταλλαγή (tradeoff) αξίζει τον κόπο. Επιπροσθέτως, είναι οπωσδήποτε πιο σφαλές να απενεργοποιήσουμε αυτό το configuration error alert απ’ότι το IP spoofing alert.
     
×
×
  • Create New...