Jordan_Tsafaridis

Αγαπητοί συνάδελφοι της κοινότητας σε αυτό το δεύτερο μέρος της σειράς άρθρων τα οποία αναφέρονται στο Hyper-V Cloud Computing των Windows 8 θα αναφερθούμε στον Hyper-V ο οποίος τρέχει στον Windows 8 client. Hyper-V στον Windows 8 Client Στον Windows 8 client, η Microsoft καθιστά διαθέσιμη την Hyper-V virtualization engine με τα ίδια core feature τα οποία υπάρχουν στον Windows Server 8, σε συνδυασμό με όλη εκείνη την επιπλέον λειτουργικότητα η οποία είναι απαραίτητη για να λειτουργεί σε mobile platform. Τα προαπαιτούμενα για να τρέχουμε τον Hyper-V στον Windows 8 client είναι να έχουμε μια 64-bit processor platform με δυνατότητα hardware virtualization καθώς επίσης η πλατφόρμα αυτή να υποστηρίζει το Second Level Address Translation (SLAT). Όπως γίνεται άμεσα αντιληπτό εξαιρώντας το χαρακτηστικό του SLAT, τα προαπαιτούμενα είναι ακριβώς τα ίδια με αυτά τα οποία χρειάζονται για να τρέχει ο Hyper-V στον Windows Server 8. Η διαφορά είναι ότι ο Hyper-V τρέχει στον Windows 8 client μόνον όταν υπάρχει υποστήριξη του SLAT, εν αντιθέσι όταν τρέχει στον Windows Server 8 δεν απαιτείται το SLAT, αλλά υπάρχει βελτίωση στην απόδοση εφόσον αυτό το χαρακτηριστικό αυτό υπάρχει. Η υποστήριξη του χαρακτηριστικού SLAT κρίθηκε απαραίτητη για τον Hyper-V στον Windows 8 client για να διασφαλίσει την απόδοση των virtual machines (VM) σε μη βέλτιστες hardware platforms. Για παράδειγμα, το SLAT βοηθά να προλαμβάνεται το jitter στις virtual machines οι οποίες φιλοξενούν host graphic-intensive applications χωρίς hardware GPU, καθώς επίσης αυξάνει την απόδοση εφαρμογών (applications) οι οποίες είναι highly memory intensive. Hyper-V Core Features στον Windows 8 Client Η φιλοσοφία της Microsoft στην εφαρμογή του Hyper-V στον Windows 8 client είναι να διασφαλίζεται το virtual machine compatibility με τον Windows Server 8. Αυτό αποτελεί σημαντικό χαρακτηριστικό όταν αναφερόμαστε σε σενάρια τα οποία απαιτούν η ανάπτυξη και η δοκιμή των VMs να λαμβάνει χώρα σε περιβάλλον Windows 8 client και εν συνεχεία να εξάγονται σε περιβάλλον Windows Server 8 το οποίο είναι και το παραγωγικό περιβάλλον. Στον πίνακα 1 παρουσιάζεται με λίστα σύγκρισης των core Hyper-V χαρακτηριστικών μεταξύ του Windows 8 client και των Windows Server 8. Hyper-V Features Windows 8 Client Windows Server 8 Running VMs 1024 (Max) 1024 (Max) Guest VM Memory 512 GB (Max) 512 GB (Max) Guest Virtual Processors 32 per VM (Max) 32 per VM (Max) Guest NUMA Y Y Guest VMs 32 and 64-bit 32 and 64-bit Dynamic Memory Y Y VHD and VHDX Y Y Guest VM Fibre Channel NIC Y Y Extensible Switch Y Y Wireless NIC Y Y Snapshots Y Y PowerShell Y Y Live Storage Migration Y Y VM Connection VM Console or RDP VM Console or RDP Sleep and Hibernate Y N Πίνακας 1: Σύγκριση χαρακτηριστικών Hyper-V μεταξύ του Windows 8 client και των Windows Server 8 Memory, Virtual Processors, και NUMA Support Ο αριθμός των υποστηριζόμενων VMs ανέρχεται στις 1024 και συνδυαζόμενος με την δυνατότητα ανάθεσης εως και 512 GB μνήμης RAM και ως 32 virtual processors σε κάθε VM αντιλαμβάνεται κανείς ότι οι δυνατότητες είναι απεριόριστες. Επιπροσθέτως ο Guest virtual machine processor και το memory affinity μαζί με τα physical host resources επίσης υποστηρίζονται σε περιβάλλοντα non-uniform memory access (NUMA) architecture platform. Ο Hyper-V στον Windows 8 client επίσης υποστηρίζει το χαρακτηριστικό dynamic memory και το οποίο βοηθά νε βελτιστοποιεί τον αριθμό των virtual machines οι οποίες μπορούν να τρέχουν ταυτόχρονα (execute concurrently), καθώς επίσης επιτρέπει τον hypervisor να πραγματοποιεί on-the-fly adjustments στην virtual machine memory βασιζόμενος στα πραγματικά φορτία επεξεργασίας (actual workload requirements). Υποστήριξη Guest Ένα πολύ επιθυμητό χαρακτηριστικό της κοινότητας, το οποίο έλειπε από την τρέχουσα Microsoft virtualization client technology, Windows Virtual PC, είναι η υποστήριξη 64-bit guest VM. Στον Windows 8 client, ο Hyper-V υποστηρίζει τόσο 32-bit όσο και 64-bit VMs, ενισχύοντας την αξία του ως εργαλείο-πλατφόρμα ανάπτυξης και δοκιμών καθώς επίσης και την επέκταση της δυνατότητας παρέχοντας μια καλύτερη application compatibility platform. Επίσης υπάρχει η δυνατότητα μεταφοράς (migrate) VMs από τα Windows Virtual PC στον Hyper-V και τον Windows 8 client, κάτι το οποίο απαιτεί την απεγκατάσταση των Integration Components πριν από την μετακίνηση των VMs. Υποστήριξη Virtual Disk Format Ο Hyper-V στον Windows client 8 υποστηρίζει τόσο το standard VHD format για τα virtual hard disks (VHD) όσο και το καινούριο VHDX format. Το νέο VHDX format υποστηρίζει VHDs εως και τα 16 TB σε μέγεθος, και ταυτοχρόνως ενεργοποιεί την υποστήριξη large sector, και επιτρέπει την ενσωμάτωση user-defined metadata σε ένα αρχείο VHD. Αν και ακόμη υποστηρίζονται οι pass-through disks, η χρήση των VHDX εξαφανίζει την ανάγκη για την χρήση των pass-through disks για να ικανοποιηθεί η ανάγκη για large virtual disk storage. Υποστήριξη Fibre Channel Adapter Ένα καινούριο χαρακτηριστικό είναι η υποστήριξη virtual Fibre Channel HBA adapter για χρήση από τις virtual machines. Αυτό το συγκεκριμένο χαρακτηριστικό είναι ιδιαιτέρως χρήσιμο για σενάρια όπως guest clustering, χρήσ του MPIO, καθώς και άλλων λύσεων multipathing απαραίτητες για φόρτο εργασίας (workloads) ο οποίος απαιτεί high-performing SAN και application availability. Αυτό το χαρακτηριστικό είναι διαθέσιμο για Windows virtual machines οι οποίες τρέχουν τα Windows Server 2008 R2 καθώς επίσης και όλες τις εκδόσεις των Windows Server 8. Υποστήριξη Switch Extensibility Στον Windows 8 client, υπάρχει ένα καινούριου API το οποίο επιτρέπει την ανάπτυξη switch extensions τα οποία βελτιώνουν δραματικά το out-of-box Hyper-V functionality. Η βασική λειτουργικότητα του Hyper-V switch επιτρέπει την δημιουργία external, internal, και private virtual networks, σε συνδυασμό με VLAN configuration. Με το καινούριο, οι κατασκευαστές hardware μπορούν να προσφέρουν pluggable switch modules τα οποία παρέχουν επιπρόσθετη ασφάλεια δικτύου, διαχείρση και χαρακτηριστικά monitoring. Είναι δε χαρακτηριστικό να αναφέρουμε ότι η ίδια έκδοση των switch extensions υποστηρίζει τόσο τον Windows Server 8 όσο και τον Windows 8 client. Ένα τέτοιο παράδειγμα αποτελεί το Cisco Systems Nexus 1000V για το οποίο προσφάτως ανακοινώθηκε η υποστήριξη για τον Hyper-V στα Windows 8. Υποστήριξη NIC Ένα πολύ σημαντικό και εξόχως απαραίτητο χαρακτηριστικό στον Hyper-V στα Windows 8 client εγκατεστημένος σε ένα notebook ή laptop είναι η υποστήριξη των wireless Network Interface Cards (NICs). Το χαρακτηριστικό για να υλοποιηθεί απαίτησε την αλλαγή του virtual switch architecture έτσι ώστε να επιτρέπει το routing πολλαπλών MAC addresses (μία ή περισσότερες μοναδικές MAC addresses για κάθε VM, εξαρτώνται από τον αριθμό των virtual NICs οι οποίες είναι συνδεδεμένες σε μια VM) διαμέσου μίας μοναδικής φυσικής wireless NIC για ενός external network connectivity. Στις προγενέστερες εκδόσεις του Hyper-V (π.χ., Windows Server 2008 και Windows Server 2008 R2 Hyper-V), μόνον ενσύρματες (wired) NICs ήταν υποστηριζόμενες διότι το πολλαπλό MAC address routing προς external networks επιτυγχάνεται τοποθετώντας τις ενσύρματες NIC σε promiscuous mode, μια λειτουργία η οποία δεν υποστηρίζεται από τα wireless NICs. Στα Windows 8 ο Hyper-V υλοποιεί την λύση Microsoft Bridging διαμέσου του ARP proxy (για το IPv4) και του Neighbor Discovery proxy (για το IPv6) και αντικαθιστά τα virtual NIC MAC address με MAC address από τα wireless NIC για εκείνα τα πακέτα τα οποία έχουν external network destination. Χρησιμοποιώντας δε τον internal mapping table για να πιστοποιεί ότι μία virtual NIC IP address σε μία virtual NIC MAC address, διασφαλίζεται ότι το σωστό routing για τα external packets προς/από την ενδεδειγμένη virtual NIC. Η λύση αυτή απαιτεί ότι θα πρέπει να υπάρχει μια γέφυρα μεταξύ ενός external virtual switch το οποίο είναι συνδεδεμένο σε μία φυσική wireless NIC. Συνεπώς ο Hyper-V πρώτα δημιουργεί μια γέφυρα και ενσυνεχεία την συνδέει με την φυσική wireless NIC. Τέλος, δημιουργεί το external virtual switch, και το συν΄δει με την γέφυρα (binds it to the bridge), αντί να το συνδέσει απευθείας στην φυσική wireless NIC. Υποστήριξη Snapshot Με το χαρακτηριστικό του snapshot, ο Hyper-V επιτρέπει "φωτογράφιση" σε μια δεδομένη χρονική στιγμή το configuration και το state μιας virtual machine, παρέχοντας την δυνατότητα επανφόρτωσης (reload) ενός υπάρχοντος snapshot σε ελάχοστα δευτερόλεπτα. Αυτό το χαρακτηριστικό είναι ιδιαιτέρως χρήσιμο για την δημιουργία περιβαλλόντων για δοκιμές έτσι να παραγματοποιούνται οι απαραίτητες δοκιμές και το debugging για την διόρθωση πιθανών λογικών λαθών πριν αυτά εφαρμοστούν σε περιβάλλοντα παραγωγής. Όταν ένα snapshot δημιουργείται, όλα τα λειτουργικά συστήματα, οι εφαρμογές, καθώς επίσης και οι αλλαγές στα δεδομένα οι οποίες λαμβάνουν χώρα κατά την διάρκεια εκτέλεσης των virtual machines αποθηκεύονται σε differencing disks. Για κάθε snapshot το οποίο δημιουργείται, ένα καινούριο differencing disk (ή πολλαπλά differencing disks εάν πολλαπλά VHDs είναι συνδεδεμένα με την συγκεκριμένη VM) φωτογραφίζει τις αλλαγές της συγκεκριμένης virtual machine. Τα differencing disks τα οποία δημιουργούνται για κάθε snapshot σε μια λογική γονέα-παιδιού -(parent and child hierarchy)- με τα πρωτότυπα VHDs να αποτελούντα top-level nodes. Επιπροσθέτως μεμονομένα snapshots ή ολόκληρα snapshot hierarchies μπορούν να διαγραφούν ή να ενωθούν εφόσον αυτό απαιτείταιΣτην πραγματικότητα ο Hyper-V στον Windows 8 client βελτιστοποιεί την λειτουργικότητα παλαιοτέρων snapshot διαμέσου ασύγχρονης ενοποίησης των snapshots, και αυτόματης απελευθέρωσης του αποθηκευτικού χώρου (automatic reclamation of storage). Υποστήριξη PowerShell Το PowerShell μας επιτρέπει να αυτοματοποιήσουμε την δημιουργία, ανάπτυξη και την διαχείριση των VMs. Με την προσθήκη 150 νέων cmdlets, μπορούμε να αυτοματοποιήσουμε όλες τις λειτουργίες οι οποίες είναι διαθέσιμες και στο Hyper-V Manager Graphical User Interface (GUI). Το PowerShell υποστηρίζει την απευθείας διαχείριση των VMs σε έναν local host, όπως επίσης και την διαχείριση των VMs σε remote hosts. Υποστήριξη Live Storage Migration Ο Hyper-V στον Windows 8 client επίσης παρέχει το χαρακτηριστικό του Live Storage Migration για την μετακίνηση των virtual machine storage resources μεταξύ physical storage units χωρίς διακοπή των VM services. Αυτό το χαρακτηριστικό επιτρέπει οι VMs να είναι ανεξάρτητες από τους υφιστάμενους αποθηκευτικούς χώρους καθώς επίσης υποστηρίζονται directly-attached physical storage, removable storage όπως USB flash drives, SANs, και τέλος άλλα remote file shares. Κατά την διάρκεια ενός Live Storage Migration, μπορούμε να επιλέξουμε να μετακινήσουμε μέρος ή όλα τα VM files: VHD files Configuration files Snapshot files Second level paging files Επιπροσθέτως, μπορούμε να καθορίσουμε συγκεκριμένες τοποθεσίες για κάθε επιλεγμένο machine file, ή να μετακινησουμε όλα τα αρχεία σε μια μοναδική τοποθεσία. Στο σημείο αυτό θα πρέπει να σημειώσουμε ότι το VM Live Migration (running state without service interruption) προς το παρόν δεν υποστηρίζεται στον Windows 8 client. Υποστήριξη VM Connection Υπάρχουν δύο επιλογές για να συνδεθούμε στις VMs οι οποίες τρέχουν στον Windows 8 client: το VMConnect και το RDP client. Το VMConnect είναι μια εφαρμογή η οποία χρησιμοποιείται για να συνδεθούμε σε μια VM μέσα από τον Hyper-V Manager. Μας επιτρέπει δε να συνδεθούμε σε μια εκκινούμενη VM στο boot phase, και παρέχει δυνατότητες διαχείρισης διαμέσου ενός single monitor με 32-bit color και ανάλυση εως και 1600x1200. Ο Windows 8 RDP client επιτρέπει την σύνδεση σε μια booted VM, παρέχοντας μια πιο πλούσια εμπειρία χαρακτηριστικών.Για παράδειγμα χρησιμοποιώντας μια σύνδεση RDP client από έναν φυσικό υπολογιστή με πολλαπλές οθόνες μας επιτρέπετε η εμφάνιση της μιας VM σε όλες τις συνδεδεμένες οθόνες. Τέλος διαμέσου του RDP, μια VM έχει το πλεονέκτημα ότι μπορεί να χρησιμοποιήσει ένα multipoint touch interface, καθώς επίσης και άλλων περιφερειακών όπως ηχεία, και την απευθείας σύνδεση σε USB devices. Υποστήριξη Sleep and Hibernation Τρέχοντας στον Windows 8 client, ο Hyper-V υποστηρίζει τα χαρακτηριστικά του sleep και του hibernation. Εφόσον ένα φυσικό σύστημα τοποθετηθεί σε κατάσταση sleep ή hibernation, τότε αυτομάτως γίνεται παύση των VMs και το state information (memory και register state) αποθηκεύονται σε αρχεία. Όταν το σύστημα επανέλθει, τότε στις VMs επαναπροωθούνται τα processor και memory resources, καθώς επίσης και το state information τους επανέρχεται από το αρχείο το οποίο δημιουργήθηκε για τον λόγο του "resume execution". Ενεργοποίηση του Hyper-V στον Windows 8 Client Όπως ανέφερα και προηγουμένως, μπορούμε να ενεργοποιήσουμε τον Hyper-V σε έναν Windows 8 client ο οποίος τρέχει σε ένα φυσικό σύστημα 64-bit το οποίο υποστηρίζει SLAT. Για να διαπιστώσουμε έαν το συστήμά μας υποστηρίζει το χαρακτηριστικό SLAT, μπορούμε να κάνουμε download και να τρέξουμε ένα free tool, το οποίο ονομάζεται Coreinfo, από το Microsoft site. Το Coreinfo αναπτύχθηκε από τον Mark Russinovich, ο οποίος μέχρι πρόσφατα μέλος του Sysinternals fame, ο οποίος τώρα αποτελέι μέλος της οικογένειας της Microsoft και συγκεκριμένα στο Windows Azure team. Καθορίζοντας το System Compatibility Για να τρέξουμε το Coreinfo tool, ανοίγουμε ένα command window τρέχοντας με Administrator context, κάνουμε αλλαγή directory στον φάκελο όπου έχουμε αποθηκεύσει το συγκεκριμένο εργαλείο. εφόσον είμαστε στο κατάλληλο directory, πληκτρολογούμε τα ακόλουθα: Coreinfo –v Χρησιμοποιώντας το –v switch, το Coreinfo θα επιστρέψει εκείνη την πληροφορία η οποία αναφέρεται στα virtualization σχετιζόμενα χαρακτηριστικά του συστήματός μας, περιλαμβάνοντας και την πληροφορία εάν υποστηρίζεται ή όχι το SLAT (Εικόνα 1.) Εικόνα 1: Virtualization Support Information για το Coreinfo Tool Το Coreinfo μπορεί επίσης να παρέχει πληροφορία για τα system sockets, cores, core features, caches, NUMA nodes, και τα οποία τα ομαδοποιεί χρησιμοποιώντας διαφορετικά switch options στο command line. Μπορείτς να δείτε όλα τα switch options πληκτρολογώντας Coreinfo /? στο command line. Hyper-V Configuration Ο Hyper-V ενεργοποιείται στον Windows 8 client χρησιμοποιώντας το Windows Features applet στο Control Panel. Εφαρμόστε την παρακάτω διαδικασία για να ενεργοποιήσετε τον Hyper-V στον Windows 8 client: Από την Start page, επιλέγουμε το Control Panel tile (Εικόνα 2). Εικόνα 2: Windows 8 Client Start Page Στο Control Panel, επιλέγουμε το More Settings option (Εικόνα 3). Εικόνα 3: Windows 8 Client Control Panel Page Στο Control Panel window, επιλέγουμε το Programs (Εικόνα 4). Εικόνα 4: Windows 8 Client Control Panel Window Στο Programs window, επιλέγουμε το Turn Windows Features On or Off option (Εικόνα 5). Εικόνα 5: Windows 8 Client Programs Window Στο Windows Features dialog, κάνουμε ξετύλιγμα (Expand) και επιλέγουμε το Hyper-V node, και εν συνεχεία κάνουμε κλικ στο OK (Εικόνα 6). Εικόνα 6: Windows 8 Client Windows Features Dialog Αμέσως μετά την ολοκλήρωση της εγκατάστασης του Hyper-V, κάνουμε κλικ στο Restart Now μέσα από το status window (Εικόνα 7). Εικόνα 7: Windows 8 Client Hyper-V Installation Status Μόλις ο Windows 8 client ολοκληρώσει την επανεκίννηση, ο Hyper-V hypervisor είναι ενεργοποιημένος, και το the Hyper-V Manager tile εμφανίζεται στο Start page (Εικόνα 8). Εικόνα 8: Windows 8 Client Start Page με τον Hyper-V Manager Συμπέρασμα Σε αυτό το άρθρο ενημερωθήκαμε για τα physical system requirements που προαπαιτούνται για τρέξει ο Hyper-V στον windows 8 client, καθώς επίσης και τα core χαρακτηριστικά τα οποία η Microsoft παρέχει έτσι ώστε να εξασφαλίζεται η συμβατότητα όταν τρέχει ο Hyper-V στον Windows Server 8. Τέλος χρησιμοποιώντας το ελεύθερο Microsoft Coreinfo tool, μπορείται εύκολα να πληροφοροθείτε έαν ο 64-bit υπολογιστής σα υποστηρίζει το χαρακτηριστικό SLAT το οποίο είναι απαραίτητο για τον Hyper-V σε περιβάλλον Windows 8 client. Ελπίζω ότι θα σας φανεί ιδιαιτέρως χρήσιμο.

Αγαπητοί συνάδελφοι της κοινότητας, πριν από λίγες ώρες επθβεβαιώθηκε ένα bug στο Service Pack 2 (SP2) του Forefront TMG 2010 το οποίο αρχικά διαγνώσθηκε από τον Jason Jones. Εάν για κάποιο λόγο έχουμε διαγράψει τον default Internet Access network rule και τον έχουμε αντικαταστήσει με κάτι άλλο, τότε εγκαθιστώντας το SP2 του Forefront TMG 2010 μυστηριωδώς ο εγκαταστάτης επαναφέρει (restores) αυτόν το κανόνα. Δυστυχώς τοποθετεί τον default Internet Access rule πάνω από τον custom rule τον οποίο έχουμε δημιουργήσει με αποτέλεσμα στις περισσότερες περιπτώσεις να προξενούνται σοβαρά προβλήματα στην ομαλή λειτουργία του TMG. Το συγκεκριμένο bug επηρεάζει μόνον εκείνα τα Forefront TMG 2010 configurations στα οποία ο default Internet Access network rule έχει για κάποιους ειδικούς λόγους διαγραφεί. Εάν όμως έχετε απλώς αλλάξει (altered) τον συγκεκριμένο κανόνα, τότε αυτές οι αλλαγές παραμένουν ως έχουν. Πριν από την εγκατάσταση του Forefront TMG SP2… Μετά από την εγκατάσταση του Forefront TMG SP2… Ελπίζω ότι θα το βρείτε ιδιαίτερα χρήσιμο.

Όπως και στο προηγούμενο άρθρο μου σχετικά με την ανακάλυψη του νέου Stuxnet-like worm με το όνομα Duqu ενδιαφέρον παρουσιάζει και το άρθρο του Jeff James το οποίο δημοσιεύθηκε στις 19/10/2011 και ώρα 12:14μμ στον ιστότοπο www.windowsitpro.com το οποίο παρουσιάζει επιπλέον πληροφορίες σχετικά με το νέο worm. Ζητώ και πάλι την κατανόησή σας, αλλά πιστεύω ότι το συγκεκριμένο άρθρο δεν προσφέρεται για μετάφραση και για τον λόγο αυτό το παραθέτω αυτούσιο στην Αγγλική γλώσσα. In June 2010, security experts, analysts, and software providers were warning IT managers about Stuxnet, a new computer worm that was spreading rapidly over the internet. Stuxnet was distributed by Windows machines, and the intent of the worm wasn't immediately clear. After a few months it was revealed that the vast majority of Stuxnet infections were in Iran, and Stuxnet seemed to have been specifically targeting the Siemens industrial control equipment used in the Iranian nuclear program. German security expert Ralph Langner was interviewed by NPR reporter Tom Gjelten earlier this year about Stuxnet, and Gjelten reported that Langner told him that the worm was so complex and sophisticated that it was "almost alien in design" and believed that only the United States had the resources required to create Stuxnet and orchestrate the attack. As more details emerged, it became clear that Stuxnet was likely developed by either Israeli or American intelligence agencies in an attempt to impede Iran's nuclear program. Both Israeli and American security officials have sidestepped questions about their involvement, but Gary Samore, White House Coordinator for Arms Control and Weapons of Mass Destruction, stated at a December 2010 conference on Iran that "we're glad they [the Iranians] are having trouble with their centrifuge machine and that we – the US and its allies – are doing everything we can to make sure that we complicate matters for them." [source: NPR’s Need to Know] Now security researchers from Symantec have revealed that they've discovered a new Stuxnet-like worm called W32.Duqu that shares much of the same code with Stuxnet. Symantec's Security Research blog posted details about Duqu yesterday: "Duqu shares a great deal of code with Stuxnet; however, the payload is completely different. Instead of a payload designed to sabotage an industrial control system, the payload has been replaced with general remote access capabilities. The creators of Duqu had access to the source code of Stuxnet, not just the Stuxnet binaries. The attackers intend to use this capability to gather intelligence from a private entity to aid future attacks on a third party. While suspected, no similar precursor files have been recovered that predate the Stuxnet attacks. According to Symantec, Duqu also functions as a keylogger designed to "capture information such as keystrokes and system information" but lacks the specific code related to "industrial control systems, exploits, or self-replication." Symantec's research team believes that Duqu is collecting information for a possible future attack, and seem to point the finger at the original creators of Stuxnet, since the creators of Duqu seem to have direct access to Stuxnet source code: The creators of Duqu had access to the source code of Stuxnet, not just the Stuxnet binaries. The attackers intend to use this capability to gather intelligence from a private entity to aid future attacks on a third party. While suspected, no similar precursor files have been recovered that predate the Stuxnet attacks. The arrival of Stuxnet signaled that cyberattacks have entered a new phase, with nation states and professional, highly-skilled programmers helping elevate cyberwarfare to a new, more sophisticated (and dangerous) level. Microsoft Technical Fellow Mark Russinovich offers up a fictional account of what can happen when terrorist groups turn to cyberwarfare in his novel Zero Day, and it's a chilling preview of what the future of warfare could look like. While many fingers are pointing at U.S. and Israeli intelligence service for creating Stuxnet – and possibly Duqu -- what happens when a hostile nation or well-organized terrorists develop the same level of cyberwarfare capability? Questions like these are undoubtedly keeping IT security professionals and experts at government security agencies awake at night. For more technical information on the Duqu worm, see Symantec’s W32.Duqu: The Precursor to the Next Stuxnet whitepaper [PDF] and a Symantec post that provides additional Duqu technical details. What are your thoughts on Stuxnet and Duqu worms? Let me know what you think by adding a comment to this blog post or starting up a conversation on Twitter. Ελπίζω να το βρείτε ενδιαφέρον.

Οι δημιουργοί του Stuxnet επέστρεψαν με ένα καινούριο είδος malware, το οποίο μπορεί να είναι ο προάγγελος ενός Stuxnet-like attack. Παρακάτω σας παραθέτω αυτούσιο στην Αγγλική γλώσσα το άρθρο του Tom Brewster, το οποίο δημοσιεύθηκε στις 19 Οκτωβρίου 2011 στις 14:42 στην ιστοσελίδα www.itpro.co.uk. The team behind the most sophisticated piece of malware ever seen has returned with some fresh malicious software. Stuxnet creators have used much of the same code for their new creation, known as Duqu, which has grabbed the attention of security researchers after an unnamed independent team detected it. However, Duqu is not as sophisticated as Stuxnet and is not targeting the same SCADA systems used in power plants. The attackers are looking for information such as design documents that could help them mount a future attack on an industrial control facility. Instead, Duqu has been used to acquire information in the lead-up to another Stuxnet-esque attack in the future, researchers have suggested. A small number of organisations have been hit, including some in the manufacturing of industrial control systems. “The attackers are looking for information such as design documents that could help them mount a future attack on an industrial control facility,” a blog post from Symantec read. “Our telemetry shows the threat was highly targeted toward a limited number of organisations for their specific assets. However, it’s possible that other attacks are being conducted against other organisations in a similar manner with currently undetected variants.” Attacks using Duqu could stretch back as far as December 2010. The malware has been used to download a separate information stealer onto systems. That info-stealer was able to pilfer data in a variety of ways, including keystroke logging, before sending it off to a command and control centre in India inside an encrypted file. The malware was programmed to run for 36 days before removing itself from systems. Stuxnet similarities Security researchers across the board have been fairly certain Duqu was created by the same team behind Stuxnet, even though there is no direct proof. “They had to have access to the original source code, which only the creators of Stuxnet have. There are various decompilations available online. Those would not do,” Mikko Hypponen, chief research officer at F-Secure, told IT Pro. “It's perfectly possible they [the team behind Stuxnet] did a similar information-cathering phase in 2008 or 2009 for the original Stuxnet and we just missed it.” Aside from the code similarities, Duqu's driver files are signed with certificates apparently stolen from a Taiwanese company, as were Stuxnet’s. Certificates were stolen from RealTek and JMicron in the case of Stuxnet, whereas in Duqu only one was compromised - C-Media Electronics Incorporation. In recent cases, certificate authorities have been compromised so hackers could issue fraudulent certificates, as was seen with the now-defunct CA DigiNotar. However, the certificate used to sign Duqu appears to have been stolen somehow, even though McAfee’s analysis suggested otherwise. “Symantec has known that some of the malware files associated with the W32.Duqu threat were signed with private keys associated with a code signing certificate issued to a Symantec customer,” the security giant said today. “Symantec revoked the customer certificate in question on 14 October 2011. Our investigation into the key’s usage leads us to the conclusion that the private key used for signing Duqu was stolen, and not fraudulently generated for the purpose of this malware.” McAfee said Duqu was being used in areas occupied by “Canis Aureus,” the Golden Jackal. See below for a map outlining where these areas are: (Source: Wikipedia) Ελπίζω ότι θα το βρείτε εξαιρετικά ενδιαφέρον.

Το Multi-Tenant Cloud Κατά την διάρκεια του Microsoft Build conference το οποίο έλαβε χώρα από τις 13 εως τις 16 Σεπτεμβρίου 2011 στο Anaheim, η Microsoft παρουσιάσε μια πρώτη γεύση των χαρακτηριστικών του Windows Server 8, που περιλαμβάνει όπως είναι αναμενόμενο και τον Hyper-V, ο οποίος θα επιτρέπει σε επιχειρήσεις να υποστηρίζουν εγκαταστάσεις Infrastructure as a Service (IaaS) χρησιμοποιώντας public, private και hybrid, καθώς επίσης και αρχιτεκτονικές multitenant cloud. Ένα multi-tenant cloud αποτελεί ένα cloud infrastructure το οποίο έχει την δυαντότητα να φιλοξενεί (hosting) services (workloads) για πολλαπλές επιχειρήσεις (Αγγλικός Όρος : distinct departments within a single company in a private cloud, or distinct companies in a public cloud) ενώ ταυτόχρονα διασφαλίζει την ασφάλεια των δεδομένων διατηρώντας σε ασφαλή απομόνωση τον φόρτο εργασίας μεταξύ των διαφόρων ενοικιαστών ( tenants ). Επιπλέον, μια υποδομή multi-tenant cloud είναι σε θέση δυναμικά να διαχειρίζεται και να αναδιανέμει tenant workloads σε οποιοδήποτε διαθέσιμο host στο cloud χωρίς να γίνεται κανένας συμβιβασμός στην ασφάλεια των δεδομένων λόγω της ασφαλούς απομόνωσης του φόρτου εργασίας. Τέλος, η υποδομή multi-tenant cloud πρέπει να είναι σε θέση να παρέχει και να εγγυηθεί τις ευδιάκριτες Service Level Agreements (SLAs) που είναι βασισμένες στις οργανωτικές απαιτήσεις, και παρέχουν τον πόρο που μετρά με βάση παραμέτρους οι οποίες εγγυώνται την σωστή μέτρηση για την χρήση των πόρων σύννεφων σε κάθε οργάνωση. Προκειμένου να ενεργοποιηθούν multi-tenant cloud υποδομές, ο Windows Server 8 περιλαμβάνει μια σειρά νέων τεχνικών χαρακτηριστικών γνωρισμάτων τα οποία περιλαμβάνουν Hyper-V, storage, network, high-availability, disaster recovery, και manageability. . Τεχνικά χαρακτηριστικά του Hyper-V Core στον Windows Server 8 Στον Windows Server 8, τα χαρακτηριστικά του Hyper-V εμπλουτίστηκαν και βελτιώθηκαν, έχοντας σαν αποτέλεσμα την θεαματική βελτίωση του virtual machine performance και το κυριότερο απ'όλα παρέχει εκείνη την αναβαθμιζόμενη βάση για virtualization η οποία είναι απαραίτητη για υποδομές cloud. Στον πίνακα 1 παρουσιάζεται μια σύγκριση μεταξύ των χαρακτηριστικών του Hyper-V key ανάμεσα στον Windows Server 2008 R2 και τον Windows Server 8. Hyper-V Χαρακτηριστικά Windows Server 2008 R2 Windows Server 8 Host Memory 1 TB 2 TB Logical Processors 64 (Max) 160 (Max) Guest VM Memory 64 GB (Max) 512 GB (Max) Guest Virtual Processors 4 per VM (Max) 32 per VM (Max) Guest NUMA N Y Host Failover Cluster Y (16 nodes) Y (63 nodes) VM Support - Failover Cluster 1000 (Max) 4000 (Max) Live Migration Y (serial) Y (concurrent) Live Migration (no cluster or shared storage) N Y Live Storage Migration N Y Table 1: Hyper-V - Σύγκριση χαρακτηριστικών Παρακάτω σας παραθέτω, αυτούσιο στην Αγγλική το κείμενο στο οποίο παρουσιάζονται αναλυτικά τα καινούρια χαρακτηριστικά, και σας παρακαλώ να με συγχωρέσετε για την μη μετάφραση στην Ελληνική γλώσσα διότι όπως θα διαπιστώσετε και εσείς λόγω των τεχνικών όρων δεν προσφερεται για μετάφραση. Hyper-V now supports 2 TB of physical memory and a maximum of 160 logical processors. In Hyper-V, it is not only cores that are included in the logical processor count, so are threads if a core is Simultaneous Multi-Threading (SMT) enabled. Therefore, the following formula is handy to calculate the number of logical processors that Hyper-V can see on a given physical server: # of Logical Processors = (# of Physical Processors) * (# of Cores) * (# of Threads per Core) The increase in memory and logical processor support in Windows Server 8 provides the basis upon which to build dense virtual machine populations for private and public cloud infrastructures. In addition, Hyper-V in Windows Server 8 supports enhanced virtual machine performance by enabling the assignment of up to 512 GB of RAM and 32 virtual processors to a virtual machine. That can easily accommodate scale up of high-performing workloads especially coupled with intelligent resource management features like dynamic memory, and new networking and storage management features that you will discover later in this article. For systems and applications that are built on top of a non-uniform memory access (NUMA) architecture, Windows Server 8 provides guest NUMA. Guest NUMA means that Hyper-V ensures guest virtual machine processor and memory affinity with physical host resources. Another upgraded feature in Windows Server 8 is the expansion of failover clusters to 63 nodes (from 16 nodes in Windows Server 2008 R2), effectively quadrupling the size of a cluster and the number of running virtual machines to 4000 (from 1000 in Windows Server 2008 R2) per cluster. With Windows Server 8, Hyper-V also supports multiple, concurrent live migrations of virtual machines. The number of concurrent live migrations is bounded only by the inherent resource constraints of the infrastructure rather than the serial limitation imposed in Hyper-V on Windows Server 2008 R2. And while Live Migration has been a cluster-centric feature requiring shared storage, the story gets significantly better in Windows Server 8 with the support for live migration of a virtual machine between any two hosts without requiring clustering, shared storage, or any shared resources other than a network connection. You can control which Hyper-V hosts participate in this Live Migration mode, as well as the number of concurrent live migrations allowed by a host, and the network to use to perform the live migration. Furthermore, there is additional granularity in the selection of virtual machine components to migrate, allowing you to choose all components, including the VHD files, current configuration, snapshots, and second level paging, or only some of these components. You also have the ability to move the virtual machine data to a single location, or to specify individual locations for every selected virtual machine component. As if all this goodness wasn’t enough, Hyper-V also provides Live Storage Migration that supports moving virtual machine storage resources between physical storage units without service interruption. Hyper-V Key Storage Features στον Windows Server 8 One of the main new Hyper-V storage features is the addition of a virtual Fibre Channel HBA adapter for virtual machines. This allows a virtual machine to connect to a Fibre Channel SAN, and enables new scenarios like guest clustering, use of MPIO, and other multipathing solutions for workloads that require high-performing SAN and application availability. This feature is available to existing Windows virtual machines like Windows Server 2008 R2 running on Hyper-V on Windows Server 8. Another new storage feature is the VHDX format, a new virtual hard disk (VHD) format that is introduced in Windows Server 8. With VHDX, the maximum size of a VHD increases to 16 TB, instead of the current 2 TB limit with the current VHD format which forces the use of pass-through disks to meet larger virtual disk storage requirements. The VDHX format also provides large sector support, and allows embedding user-defined metadata. Along with the increase in virtual disk size is an impressive performance boost when creating or managing large VHDX-based formats using the Offloaded Data Transfer (ODX) features of storage systems. Hyper-V support for ODX in Windows Server 8 allows handing off operations like data transfers and file creations to the storage system which can perform the actions with much higher performance while reducing the impact of associated operations on the Hyper-V host processor. Hyper-V Key Network Features στον Windows Server 8 On the networking side, one the of the key Hyper-V features in Windows Server 8 is the extensible Hyper-V switch. The Hyper-V switch is the component that controls the configuration and creation of external, internal, and private networks that support virtual machine connectivity to physical networks, to other virtual machines and the Hyper-V host, or to a subset of virtual machines, respectively. In Windows Server 2008 R2, the Hyper-V switch functionality cannot be modified. In Windows Server 8, an API exists that enables extension of the Hyper-V switch functionality. Microsoft’s goal is to enable security vendors to develop new security appliances as pluggable switch modules, enable switch vendors to create switch extensions that unify virtual and physical switch management, and enable network application vendors to create network monitoring extensions for the Hyper-V switch. Taking advantage of the Hyper-V switch extensibility, Cisco Systems has already announced support for Windows Server 8 Hyper-V with its Cisco Nexus 1000V switch. Probably one of the most requested networking features included in Windows Server 8 and supported by Hyper-V is NIC teaming. Up through Windows Server 2008 R2, NIC teaming has only been available as a third-party option. Windows Server 8 provides native NIC teaming that is configurable at the host (parent partition) or virtual machine (guest partition) level in either load balancing or failover mode. As a bonus, this new NIC teaming feature even works across different vendor network adapters. Ελπίζω ότι τα παραπάνω θα σας φανούν ιδιαίτερα χρήσιμα.

Σκοπός του συγκεκριμένου άρθρου, το οποίο θεώρησα σωστό να μην προχωρήσω σε μετάφρασή του είναι να πάρουμε μια ενδελεχή εικόνα των τεχνολογιών τις οποίες η Microsoft πρόκειται να διαθέσει σε πολύ σύντομο χρονικό διάστημα στην παγκόσμια αγορά πληροφορικής οι οποίες τολμώ να πω ότι θα προκαλέσουν επανάσταση. Και τούτο διότι πολύ απλά, η Microsoft καινοτομεί ξεφεύγοντας από τα στενά προϊοντικά της πλαίσια δίνοντας εκείνα τα εργαλεία τα οποία μας επιτρέπουν να διαχειριστούμε εγκαταστάσεις private και public cloud οι οποίες χρησιμοποιούν συνδυσμό τεχνολογιών virtualization όπως Microsoft Hyper-V, VMWare VSphere, Citrix XenServer κ.τ.λ.. Μια τέτοια περίπτωση είναι και η παρακάτω όπου με τον System Center Virtual Machine Manager 2012 (VMM 2012) μπορούμε να διαχειριστούμε περιβάλλοντα Citrix XenServer. In System Center Virtual Machine Manager 2008 R2 (VMM 2008 R2), Microsoft provides a single management console that supports multiple virtualization platforms including Hyper-V and VMware ESX/ESXi. With System Center Virtual Machine Manager 2012 (VMM 2012), Citrix XenServer is also supported. VMM 2012 allows the use of standard processes and procedures to perform daily management operations across the supported virtualization platforms, including: Host Features Host discovery and management (clusters and pools) Host power optimization Host maintenance mode Virtual Machine Features Creation, deployment, and management of virtual machines Creation, deployment, and management of VMM services Placement of virtual machines based on host ratings Load balancing Storage of resources in VMM library Conversion of virtual machines to Hyper-V VMM 2012 also enables using XenServer host resources, along with Hyper-V and VMware hosts, to create heterogeneous private clouds managed using a single graphical user interface (GUI) and command-line interface (CLI). Citrix XenServer Host Requirements In order to be managed through VMM 2012, a Citrix XenServer must meet the following requirements: XenServer 5.6 Feature Pack 1 XenServer SCVMM Integration Suite supplemental pack The SCVMM Integration Suite supplemental pack is installed during the XenServer installation using a SCVMM Beta Integration CD, or post-installation through the CLI using a SCVMM Beta Integration ISO. VMM 2012 does not require an agent deployment to XenServer hosts. XenServer hosts and XenServer pools can be added and managed using VMM 2012. However, a XenServer host must be installed before adding it to VMM 2012. Also, XenServer pools must be created and configured in Citrix XenCenter. Configuring VMM 2012 to Manage Citrix XenServerBefore you can add a XenServer host to VMM 2012, you should create a Run As account to define account credentials that VMM 2012 can use to access a XenServer host. Although it is generally recommended that you perform this procedure before adding the XenServer host, you can also create a Run As account during the process to add a XenServer host. Adding a Run As Account in VMM 2012 Launch the VMM Console and then select the Settings workspace. In the Settings pane, select Run As Accounts (Figure 1). Figure 1: VMM Console – Settings Workspace In the Home bar, click Create Run As Account to launch the Create Run As Account wizard. In the Create Run As Account wizard, on the General page, enter a name for the new Run As account, then select the Host Computer option from the Category pull-down menu, then enter the account credentials (host or Active Directory account depending how the XenServer host is configured) in the username and password fields, and then select Next. (Figure 2). Figure 2: Create Run As Account Wizard – General Page On the Run As Profiles page, click Next (Figure 3). Figure 3: Create Run As Account Wizard – Run As Profiles Page On the Summary page, click Finish (Figure 4). Figure 4: Create Run As Account Wizard – Summary Page In the Jobs Window, ensure that the Run As account creation is successful, and then close the window (Figure 5). Figure 5: VMM 2012 Jobs Window – Run As Account Adding a XenServer Host in VMM 2012 After creating a Run As account, you can add a XenServer host to VMM 2012 from within the Fabric workspace in the VMM Console. In the VMM 2012 Console, select the Fabric workspace (Figure 6). Figure 6: VMM 2012 Console – Fabric Workspace In the Home bar, click Add Resources, and select Citrix XenServer Hosts and Clusters to launch the Add Resource wizard (Figure 7). Figure 7: VMM 2012 – Add Resources In the Add Resource wizard, on the Server Settings page, enter the name of the XenServer hosts, the Run As account to connect to the host, the host group location, and then click Add (Figure 8). Figure 8: VMM 2012 – Add Resource Wizard After adding the XenServer host, click Next. On the Summary page, click Finish (Figure 9). Figure 9: Add Resource Wizard – Summary Page In the Jobs window, verify that the host is successfully added (Figure 10). Figure 10: Jobs Window – Add XenServer Host In this example, because the XenServer host belongs to a pool, VMM 2012 created a host cluster named XSPool in the host group, and based it on the name of the pool in XenCenter. Configuring Networking for a XenServer Host in VMM 2012 Before using VMM 2012 to create a virtual machine on a XenServer host that can connect to a virtual network, you must configure the network properties on the host. Using VMM 2012, you can associate XenServer host physical network adapters to logical networks. In the VMM 2012 Console, select the Fabric workspace (Figure 11). Figure 11: VMM 2012 Console – Fabric Workspace with XenServer Host In the Hosts Pane, right-click the XenServer host, and then select Properties (Figure 12). Figure 12: VMM 2012 Console – Server Properties Selection In the XenServer host properties, select Hardware, and then select the Network Adapter (Figure 13). Figure 13: VMM 2012 Console – Network Adapter Properties Under Logical Network Connectivity, select the logical network that should be associated with the network adapter, and then click OK in the Warning box (Figure 14). Figure 14: VMM 2012 Console – VLAN Warning Click OK to close the XenServer host properties page. In the Hosts pane, right-click the XenServer host, and then select View Networking (Figure 15). Figure 15: VMM 2012 Console – View Networking In the Networking Diagram window, verify that the XenServer host network adapter is connected to the required virtual network (Figure 16). Figure 16: VMM 2012 Console – View Networking Creating and deploying a Virtual Machine to XenServer using VMM 2012 Creating and deploying a new virtual machine to a XenServer host using VMM 2012 is performed in the VMs and Services workspace. In the VMM 2012 Console, select the VMs and Services workspace (Figure 17). Figure 17: VMs and Services Workspace In the Home bar, click Create Virtual Machine (Figure 18) and then select Create Virtual Machine from the menu to launch the New Virtual Machine wizard. Figure 18: VMM 2012 - Create Virtual Machine In the New Virtual Machine wizard, on the Select Source page, select Create The New Virtual Machine With A Blank Virtual Hard Disk, and then click Next (Figure 19). Figure 19: New Virtual Machine Wizard – Select Source Page On the Virtual Machine Identity page, enter a name for the virtual machine, and then select Next (Figure 20). Figure 20: New Virtual Machine Wizard – Virtual Machine Identity Page On the Configure Hardware page, select the Compatibility option in the left pane, select the Xen capability profile in the right pane (Figure 21), adjust the resource configuration as required, and then click Next. The Xen capability profile is a pre-configured profile that defines resource minimum and maximum values that can be configured. Customized capability profiles are created in the Library workspace. Figure 21: New Virtual Machine Wizard – Configure Hardware Page On the Select Destination page, select the Place The Virtual Machine On A Host option, and then click Next (Figure 22). Figure 22: New Virtual Machine Wizard – Select Destination Page On the Select Host page, select the XenServer host, and then click Next (Figure 23). Figure 23: New Virtual Machine Wizard – Select Host Page On the Configure Settings page, select the VM storage location, network adapter, and deployment details, and then click Next (Figure 24). Figure 24: New Virtual Machine Wizard – Configure Settings Page On the Additional Properties page, select the desired options to automate the start and stop of the virtual machine when the XenServer host is powered on or off, then specify the operating system that will be installed in the virtual machine, and then click Next (Figure 25). Figure 25: New Virtual Machine Wizard – Additional Properties Page On the Summary page, review the selected options, and then click Create (Figure 26). Figure 26: New Virtual Machine Wizard – Summary Page In the Jobs window, monitor the creation of the virtual machine on the XenServer host (Figure 27). Figure 27: VMM 2012 Jobs Window – New Virtual Machine Creation In the VMM Console, view the status of the newly created virtual machine on the XenServer host (Figure 28). Figure 28: VMM 2012 Console – New Virtual Machine Additional VMM 2012 Management Features for Citrix XenServer VMM 2012 supports the ability to manage many additional facets of XenServer operations. The following table contains a brief overview of other major management features, but is not all inclusive. For more information, review the Citrix XenServer management information on the Microsoft Technet site. Command Line Management The VMM command shell supports XenServer hosts management VMM Service A VMM service – a set of virtual machines defined using a service template that captures configuration, networking, load balancing, and deployment settings for a single release of a service – can be deployed to XenServer hosts Live Migration VMM 2012 supports XenMotion between XenServer hosts in a managed pool Maintenance Mode VMM 2012 supports placing a managed XenServer host in and out of maintenance mode Library VMM 2012 support storing XenServer virtual machines, disks, and VMM templates in the VMM library VMM Templates VMM templates supports XenServer hosts, with these restrictions: · Supports generalization and customization for Windows-based virtual machines only · Supports manual installation of XenServer Tools · Supports only original disk images without modifications Conversion VMM 2012 supports conversion of XenServer Windows-based virtual machines to Hyper-V virtual machines using the P2V conversion process, without removing XenServer Tools Table 1 Conclusion While System Center VMM 2008 R2 provides the ability to manage virtualization environments that include both Microsoft and VMware virtualization components, Citrix XenServer is supported with VMM 2012. Because of Windows PowerShell integration with VMM 2012, administrators also have the choice to manage XenServer hosts either through the VMM 2012 console, or using the VMM command line. With VMM 2012, Microsoft provides a solid, single pane interface that allows organizations to deploy small scale or private clouds that support the top virtualization platforms on the market. Πηγή : virtualizationadmin

Αγαπητοί συνάδελφοι της κοινότητας είναι γεγονός ότι ένα επιπλέον κόστος σε εγκαταστάσεις του Microsoft Exchange 2010, αποτελεί συχνά η χρήση ενός hardware load balancer, ή και αρκετές φορές επίσης η χρήση ενός virtual load balancer appliance. Είναι χαρακτηριστικό ότι οι φθηνές λύσεις ξεκινούν λίγο πάνω από τα 1000 Ευρώ και φθάνοντας σε κόστος αρκετών χιλιάδων Ευρώ. Αυτό το οποίο δεν γνωρίζουν πολλοί είναι ότι υπάρχει και αντίστοιχο open source software το οποίο μπορεί να κάνει την συγκεκριμένη εργασία εξίσου καλά, και το κυριότερο ΔΩΡΕΑΝ. Το ευχάριστο είναι ότι η συγκεκριμένη λύση παρέχει ένα απλό στην χρήση web-based management interface, το οποίο επιτρέπει ένα εύκολο setup σε συνδυασμό με την δυνατότητα να χρησιμοποιήσουμε αυτό το Virtual Load Balancer appliance τόσο σε περιβάλλον VMware vSphere όσο και σε περιβάλλον Hyper-V. Η έκδοση 0.1 η οποία παρουσιάζεται στα παρακάτω screenshot αποτελεί την πρώτη έκδοση, και συνεπώς όπως αντιλαμβάνεστε δεν θα συνιστούσα να την χρησιμοποιήσετε σε ένα παραγωγικό περιβάλλον. Αυτό το οποίο μπορώ να σας διαβεβαιώσω ότι ύστερα από επικοινωνία την οποία είχα με τον επικεφαλής της ομάδας ανάπτυξης του συγκεκριμένου λογισμικού Load Balancer, σε ένα χρονικό διάστημα δύο - τριών μηνών το λογισμικό θα είναι rock-solid σε συνδυασμό με την προσθήκη ορισμένω επιπλέον απαραίτητων χαρακτηριστικών τα οποία αυτή την στιγμή βρίσκονται ήδη στην διαδικασία του debugging για περισσότερο από ένα μήνα. Τα Screenshots είναι τα ακόλουθα : Μπορείται να διαβάσετε περισσότερα αλλά και να κατεβάσετε το λογισμικό κάνοντας κλικ εδώ. Ολοκληρώνοντας πιστεύω ότι θα πρέπει να λάβετε υπόψην σας και τον παρακάτω σύνδεσμο. http://www.stevieg.org/2010/11/exchange-team-no-longer-recommend-windows-nlb-for-client-access-server-load-balancing/ Ελπίζω ότι το συγκεκριμένο άρθρο θα το βρείτε εξαιρετικά χρήσιμο.

Αγαπητοί συνάδελφοι της κοινότητας η λογική του συγκεκριμένου άρθρου είναι να καταδείξει την μέθοδο βήμα προς βήμα την οποία θα πρέπει να ακολουθήσουμε έτσι ώστε να προστατεύσουμε με την χρήση αντιγράφων ασφαλείας τις Exchange databases χρησιμοποιώντας τον DPM 2010. A guide for Recovering the databases and contents will be provided. Προαπαιτούμενα Έχουμε πραγματοποιήσει επιτυχώς την εγκατάσταση του Microsoft Data Protection Manager 2010. Ξεκινώντας ελέγχουμε εάν υπάρχει διαθέσιμος χώρος δίσκου με βάση τον όγκο των δεδομένων τα οποία θέλουμε να προστατεύσουμε. Επιπροσθέτως η χωρητικότητα του/των δίσκων οι οποίοι πρόκειται να χρησιμοποιηθούν για την συγκεκριμένη εργασία θα πρέπει να είναι unallocated όπως ακτιβώς παρουσιάζεται στην παρακάτω εικόνα. Εκκινούμε (Start up) την “DPM 2010 Administrator Console” και εν συνεχεία πηγαίνουμε στο “Management”, όπου σε πρώτη φάση κάνουμε κλικ στο “Rescan” έτσι ώστε όλοι οι δίσκοι να γίνουν refreshed και αμέσως μετά κάνουμε κλικ στο “Add” button. Αυτόματα ο Disk 1 εμφανίζεται, τον επιλέγουμε και κάνουμε κλικ στο “Add” button και αμέσως μετά κάνουμε κλικ στο “OK”. Το αποτέλεσμα της προσθήκης του δίσκου εμφανίζεται στην παρακάτω εικόνα όπου ο δίσκος εμφανίζεται κάτω από το Disks tab. Κάτω από το “Management”, κάνουμε κλικ στο tab “Agents”. Εν συνεχεία κάνουμε κλικ στο “Install…” button. Επιλέγουμε το “Install agents” και αμέσως μετά κάνουμε κλικ στο Next. Επιλέγουμε τον Exchange server και κάνουμε κλικ στο “Add”. Η επιλογή έχει ολοκληρωθεί, και εν συνεχεία κάνουμε κλικ στο Next. Εισάγουμε τα credentials, όπου απαιτείται να είναι ένας λογαριασμός με δικαιώματα administrator στον συγκεκριμένο server. Αμέσως μετά κάνουμε κλικ στο Νext. Λόγω του ότι θα πρέπει να έχουμε εμείς τον έλεγχο του server επιλέγουμε να κάνουμε το restart εμείς χειροκίνητα. Εν συνεχεία κάνουμε κλικ στο Next. Εγκατάσταση του Agent και το αντίστοιχο installation process information εμφανίζονται και κάνουμε κλικ στο Close. Ο server θα πρέπει να εμφανιστεί κάτω από το Agents tab στην Console. Επιλέγουμε το “Protection” από τα menu, και κάνουμε κλικ στο “Create Protection group…” Το Information window εμφανίζεται. Αμέσως κάνουμε κλικ στο Next. Στην συγκεκριμένη περίπτωση αυτό που θέλουμε να προστατεύσουμε είναι ένας Server, επιλέγουμε το Servers και κάνουμε κλικ στο Next. Ανοίγουμε/Ξετυλίγουμε τον Server και επιλέγουμε το “Exchange 2010 Databases”, όπου όλες οι databases είναι επιλεγμένες. Κάνουμε κλικ στο Next. Δίνουμε στο Protection group ένα χαρακτηριστικό όνομα, το οποίο στην συγκεκριμένη περίπτωση είναι το “Exchange Protection Group”. Κάνουμε κλικ στο Next. Στο σημείο αυτό θέλουμε να χρησιμοποιήσουμε το χαρακτηριστικό του DPM το οποίο ελέγχει την ορθότητα των δεδομένων χρησιμοποιώντας το eseutil, και αμέσως μετά κάνουμε κλικ στο Next. Το Ese.dll και το Eseutil.exe πρέπει να αντιγραφούν από τον Exchange server και να τοποθετηθούν μέσα στο DPM installation path, και συγκεκριμένα στον φάκελο Bin. Κάνουμε κλικ στο Next. (Μιας και το περιβάλλον μας περιλαμβάνει έναν και μόνον server) Επιθυμία μας είναι να αποθηκεύουμε τα backups για 7 ημέρες καθώς επίσης το backup να τρέχει κάθε 15 λεπτά της ώρας, και τέλος το Full Backup κάθε μέρα στις 20:00 η ώρα. Αμέσως μετά κάνουμε κλικ στο Next. Κάνουμε κλικ στο Next. Θέλουμε στο σημείο αυτό να δημιουργήσουμε την δική μας replica άμεσα. Εάν όμως πρόκειται για ένα production environment τότε η συμβουλή μου είναι η διαδικασία αυτή να γίνει όταν ο φόρτος δικτυακός/επεξεργαστικός βρίσκεται σε ένα μέσο επίπεδο. Κάνουμε κλικ στο Next. Στο σημείο αυτό θα πρέπει να τρέξουμε ένα consistency check στις replicas. Κάνουμε κλικ στο Next. Αμέσως μετά εμφανίζεται το summary. Κάνουμε κλικ στο Create Group. Η δημιουργία των Replicas έχει ξεκινήσει. Κάνουμε κλικ στο Close όταν η διαδικασία αυτή έχει ολοκληρωθεί. Απαιτείται κάποιος χρόνος εως ότου η διαδικασία δημιουργίας των replicas ολοκληρωθεί, και είναι κάτι το οποίο εξαρτάται από το μέγεθος των exchange databases. Μετά από λίγα λεπτά οι databases θα πρέπει να εμφανιστούν με status ότι είναι προστατευμένες, με άλλα λόγια το status είναι OK. Στο σημείο αυτό θα ήθελα να συστήσω την εξερεύνηση του Reporting part έαν θέλουμε να έχουμε κάποιας μορφής reports σχετικά με τα backups. Ο Exchange server είναι τώρα προστατευμένος χρησιμοποιώντας τον Microsoft Data Protection Manager 2010. Ελπίζω ότι το συγκεκριμένο άρθρο θα σας φανεί ιδιαίτερα χρήσιμο.

Θέμα : Διαγράφοντας μια Exchange PF database, η διαδικασία αποτυγχάνει εμφανίζοντας το παρακάτω μήνυμα λάθους σε έναν Exchange 2007 Server. Η public folder database 'SG02PF1' δεν μπορεί να διαγραφεί. ( SG02PF1 Failed ) Error: Object is read only because it was created by a future version of Exchange: 0.10 (14.0.100.0). Current supported version is 0.1 (8.0.535.0). Λύση : Κάνουμε Logon στον Exchange 2010 Server και εν συνεχεία χρησιμοποιούμε την ακόλουθη εντολή PowerShell : Server Name: WINCMS Storage Group Name SG02 Database Name: SG02PF1 Remove-PublicFolderDatabase -Identity "WINCMS\SG02\SG02PF1" Ελπίζω ότι θα σας φανεί ιδιαίτερα χρήσιμο.

Η Microsoft ανακοίνωσε την εξάρθρωση του δικτύου Kelihos, ενός botnet που εκτιμάται ότι αποστέλλει καθημερινά 4 εκατομμύρια spam email. Η εταιρεία έχει ήδη καταθέσει τις σχετικές μηνύσεις και το λόγο έχει τώρα η αμερικανική δικαιοσύνη. Οι κατηγορούμενοι είχαν δημιουργήσει περίπου 3.700 subdomains μέσω της υπηρεσίας cz.cc, πολλά από τα οποία χρησιμοποιούνταν για παράνομες δραστηριότητες. Εκτιμάται ότι περίπου 41.000 υπολογιστές σε όλο τον κόσμο είχαν μολυνθεί και συμμετείχαν στις δραστηριότητες του botnet. Σύμφωνα με τη Microsoft, το Kelihos botnet έχει χρησιμοποιηθεί για την υποκλοπή προσωπικών δεδομένων και άλλες παράνομες δραστηριότητες, πέρα από την αποστολή spam email. Το Kelihos είναι επίσης γνωστό με το όνομα Waledac 2.0. Να σημειωθεί ότι η πρώτη έκδοση του Waledac έχει επίσης εξαρθρωθεί από τη Microsoft, η οποία πιστώνεται επίσης και τη διάλυση του διαβόητου Rustock botnet. Πηγή : www.defencenet.gr

Στα Windows 8, η Microsoft παρουσίασε - εισήγαγε πάρα πολλά νέα χαρακτηριστικά. Στο συγκεκριμένο άρθρο θα εστιαστούμε στην δυνατότητα remote deployment των Windows Server 8. Το administration και η διαχείρηση (management) τόσο τοπικών όσο και απομακρυσμένων (local/remote) servers πραγματοποιείται από την Server Manager console. Στον Server Manager, θα παρατηρήσετε τα τμήματα Local Server και All Servers αντίστοιχα. Συνεπώς μπορούμε να προσθέσουμε remote servers στο All Serves group. Επιλέγουμε Server Manager–> All Servers –> Add Servers Όπως θα παρατηρήσετε στο παρακάτω screenshot, μπορούμε να επιλέξουμε remote servers χρησιμοποιώντας το Active Directory, DNS ή μπορούμε να τους εισαγάγουμε (import). Αμέσως μόλις ολοκληρωθεί η διαδικασία αυτή, θα δείτε όλους αυτούς τους νέους servers στο All Servers group. Εδώ μπορούμε να κάνουμε Add Roles, Features, να αλλάξουμε το configuration ή να εφαρμόσουμε οποιοδήποτε άλλο administration task μέσα από αυτήν την κονσόλα. Στην συγκεκριμένη περίπτωση πρόκειται να εγκαταστήσουμε τον Active Directory Domain Services Role κάνοντας την διαδικασία του remote DCPROMO στον remote server – SAN-WIN08-02. Η διαδικασία είναι απολύτως η ίδια με αυτήν της εγκατάστασης του ρόλου σε μια τοπική μηχανή. Το επόμενο βήμα είναι η ρύθμιση του server ως Domain Controller. Από το Server Manger Dashboard, βλέπουμε όλα τις απαραίτητες λεπτομέρειες της συγκεκριμένης ρύθμισης (configuration details) στο τμήμα Roles and Sever Group. Από αυτό το παράθυρο Notification, μπορούμε να εκκινήσουμε την διαδικασία DCPROMO – Post-deployment Configuration. Σε αυτό το άρθρο προσθέτουμε έναν επιπλέον Domain Controller σε ένα ήδη υπάρχων domain. Όπως μπορείτε να δείτε στο παρακάτω screenshot, υπ'αρχουν τρεις διαθέσιμες επιλογές: Προσθήκη ενός domain controller σε ένα υπάρχων domain Προσθήκη ενός νέου domain σε ένα ήδη υπάρχων forest Προσθήκη ενός νέου forest Επιπροσθέτως, θα παρατηρήσετε ορισμένες επιπλέον επιλογές όπως η επιλογή του Site Name, GC κ.τ.λ. στο configuration wizard. Στο σημείο αυτό μπορούμε να ρυθμίσουμε/ενεργοποιήσουμε το DNS delegation και να αλλάξουμε τα credentials εάν αυτό χρειάζεται. Στο επόμενο παράθυρο, μπορούμε να ρυθμίσουμε τις τοποθεσίες όπου αποθηκεύονται τα database, log και το SYSVOL αντίστοιχα. Επίσης, μπορούμε να επιλέξουμε έναν domain controller για replication (Replicate From). Υπάρχουν ακόμη επιπλέον επιλογές οι οποίες σκοπό έχουν να κάνουμε παραμετροποίηση (customize) του application partition replication προσθέτοντας ή αφαιρώντας αυτά τα partitions, επιλέγοντας μόνον critical data κ.τ.λ.. Εν συνεχεία κάνουμε επισκόπηση αυτών των επιλογών εγκατάστασης (installation options) και κάνουμε κλικ στο Next για να ξεκινήσει η διαδικασία του domain controller promotion. Ο συγκεκριμένος server (SAN-WIN08-02) θα αποτελέσει έναν ένα additional domain controller στο Santhosh.Lab2 domain. Τα settings αυτά μπορούν να εξαχθούν σε ένα Windows PowerShell script για να αυτοματοποιήσουμε την συγκεκριμένη διαδικασία. Η διαδικασία DCPROMO θα εφαρμόσει πρωτίστως ένα Prerequisite Check και εν συνεχεία θα ολοκληρώσει την εγκατάσταση. Θα λάβετε το summary report στο παράθυρο Installation Result. Ελπίζω ότι θα σας φανεί χρήσιμο. Σημείωση : To lab αυτό το έλαβα από τον MVP Santhosh Sivarajan.

Αγαπητοί συνάδελφοι της κοινότητας όπως όλοι σας πιθανόν να γνωρίζετε το Metro UI και το Metro style applications είναι χαρακτηριστικά τα οποία για πρώτη φορά θα εμφανιστούν σε λειτουργικό σύστημα και αυτό δεν είναι άλλο από τον Windows 8 Server και το Workstation OS αντίστοιχα. Συνεπώς όπως αντιλαμβάνεστε το management interface είναι εντελώς διαφορετικό στο Windows 8, γεγονός το οποίο ευχάριστα θα έλεγα ότι μας εισαγάγει σε μια πραγματικά νέα εποχή. Στο συγκεκριμένο άρθρο σκοπός μου είναι να παρουσιάσω την διαδικασία με την οποία γίνεται η προσθήκη και αφαίρεση ενός a server role στον Windows 8 server. Στην συγκεκριμένη περίπτωση θα χρησιμοποιήσουμε τον Server Manger με σκοπό να υλοποιήσουμε την διαδικασία του Add ή Remove roles. Στα Windows 8, μπορούμε να ανοίξουμε τον Server Manager κατευθείαν από το UI (User Interface).Από Από το Server Manager Dashboard, επιλέγουμεt Manage και εν συνεχεία επιλέγουμε το Add Role and Features ή το Remove Roles and Features. Στην συγκεκριμένη περίπτωση θα αφαιρέσω τον DNS role από αυτόν τον server. Αμέσως μετά κάνουμε κλικ στο Next στο παράθυρο Remove Roles and Features Wizard. Επιλέγουμε το server name βασιζόμενοι στο Server Pool και στο Configuration. Εν συνεχεία κάνουμε κλικ στο Next. Καθαρίζουμε το checkbox δίπλα στον ρόλο (Role) – Πρόκειται να αφαιρέσουμε τον DNS role από αυτόν τον server. Κάνουμε κλικ στο Next ή επιλέγουμε ένα χαρακτηριστικό (Feature) για να το αφαιρέσουμε. Κάνουμε κλικ στο Next στο παράθυρο επιβεβαίωσης (Confirmation Window). Αμέσως μετά θα παρατηρήσουμε την εξέλιξη της διαδικασίας όπως αυτή φαίνεται στο παρακάτω screenshot. Μας παρέχεται η δυνατότητα να κλείσουμε αυτά τα παράθυρα χωρίς να διακοπεί η συγκεκριμένη επεξεργασία. Επίσης μπορούμε να ανοιξουμε την συγκεκριμένη σελίδα όπτε θέλουμε έτσι ώστε να παρακολουθήσουμε την εξέλιξη της συγκεκριμένης επεξεργασίας. Ενδεχομένως να χρειαστεί να επανεκιννήσουμε (restart) τον server, κάτι το οποίο εξαρτάται από τον role. Τα Shutdown και Restart button βρίσκονται σε διαφορετική τοποθεσία στα Windows 8. Θα βρείτε τα Shutdown και Restart options στην κάτω δεξιά πλευρά του παραθύρου. Θα σας ζητηθεί να επιλέξετε ένα λόγο για την διαδικασία του restart ή του shutdown - Shutdown Event Tracker Ολοκληρώνοντας θα ήθελα να σας ενημερώσω ότι τρέχω τον Windows 8 Server σε ένα υπολογιστή με εγκατεστημένο το Hyper-V. Υπάρχουν αναφορές στο διαδίκτυο ότι ορισμένοι συνάδελφοι της κοινότητας αντιμετώπισαν δυσκολίες στην εγκατάσταση των Windows 8 σε περιβάλλον Hyper-V. Με λίγη προσπάθεια μπορούμε τελικώς να τα εγκαταστήσουμε σε περιβάλλον Hyper-V. Ελπίζω το συγκεκριμένο άρθρο να σας φανεί χρήσιμο.

Η εγκληματικότητα στον κυβερνοχώρο στοίχισε περίπου 114 δισεκατομμύρια δολάρια, και έπληξε 431 εκατομμύρια ανθρώπους σε όλον τον κόσμο το 2010, σύμφωνα με μελέτη που δημοσιεύθηκε από μια εταιρία που κατασκευάζει λογισμικό προστασίας από ιούς των υπολογιστών. Σύμφωνα με την έκθεση της εταιρείας Symantec, 74 εκατομμύρια Αμερικανοί έπεσαν πέρυσι θύματα του εγκλήματος στον κυβερνοχώρο, το οποίο τους προκάλεσε συνολικά 32 δισ. δολάρια άμεσες οικονομικές ζημιές. Στην Κίνα, το κόστος εκτιμάται ότι ανήλθε σε 25 δισεκατομμύρια δολάρια, στη Βραζιλία σε 15 δισ., και στην Ινδία σε 4 δισ. δολάρια. Σύμφωνα με την έρευνα, το 69% των ερωτηθέντων ενηλίκων χρηστών του Διαδικτύου έχουν πέσει στη ζωή τους θύματα εγκλήματος στον κυβερνοχώρο, ένα ποσοστό που αυξάνεται έως και σε 85% στην Κίνα και σε 84% στη Νότια Αφρική. Η μελέτη υπογραμμίζει επίσης την αυξανόμενη ανάπτυξη των εγκλημάτων του είδους στα κινητά τηλέφωνα. "Η εγκληματικότητα στον κυβερνοχώρο είναι πολύ πιο ανεπτυγμένη από όσο φαντάζονται οι άνθρωποι", δήλωσε ο Άνταμ Πάλμερ, σύμβουλος Διαδικτυακής ασφάλειας στην εταιρεία. "Κατά τους τελευταίους δώδεκα μήνες, ο αριθμός των ενηλίκων που ερωτήθηκαν για τη μελέτη για τα θύματα εγκληματικών πράξεων στον κυβερνοχώρο, είναι τρεις φορές μεγαλύτερος από αυτόν των θυμάτων εγκληματικών πράξεων στην πραγματική ζωή", τόνισε. "Και όμως, λιγότεροι από το ένα τρίτο των ερωτηθέντων πιστεύουν ότι είναι πιο πιθανό να πέσουν θύματα ενός εγκλήματος στον κυβερνοχώρο, από ό,τι ενός εγκλήματος στη φυσική ζωή", πρόσθεσε ο Πάλμερ. Η μελέτη, που έγινε σε δείγμα 20.000 ανθρώπων σε 24 χώρες, διεξήχθη τον Φεβρουάριο και το Μάρτιο του 2011 και καλύπτει τους προηγούμενους δώδεκα μήνες. Πηγή : www.nooz.gr

Η επικράτεια των χάκερς διευρύνεται με ανησυχητικό τρόπο, ξεφεύγοντας για τα καλά από το πεδίο των ηλεκτρονικών υπολογιστών και των κινητών τηλεφώνων, καθώς η εξειδικευμένη εταιρία κυβερνο-ασφάλειας και λογισμικού κατά των ιών McAfee, σε νέα έκθεσή της, προειδοποιεί ότι στο μέλλον είναι δυνατό να τεθεί σε κίνδυνο η ίδια η ζωή των οδηγών αυτοκινήτων. Καθώς τα οχήματα αποκτούν όλο και περισσότερους κομπιούτερ και άλλα ηλεκτρονικά συστήματα και, παράλληλα, διασυνδέονται ασύρματα στο διαδίκτυο, κακόβουλοι χάκερ θα μπορούσαν να πάρουν εξ αποστάσεως τον έλεγχο του αυτοκινήτου, ακόμα και να σβήσουν τον κινητήρα, ενώ ο οδηγός κινείται στο δρόμο. Η εταιρία προειδοποιεί ότι υπάρχει πια τόσο πολύ ενσωματωμένο λογισμικό σε ένα αυτοκίνητο, από τους αερόσακους και τα ραδιόφωνα έως τα καθίσματα και τα συστήματα ελέγχου πλοήγησης, που οι χάκερ θα μπορούσαν να προκαλέσουν πολλαπλά και, εν δυνάμει, επικίνδυνα προβλήματα. Νωρίτερα φέτος, ερευνητές έδειξαν στην πράξη -όχι θεωρητικά- και μάλιστα με διάφορα μοντέλα αυτοκινήτων ότι είναι δυνατό ένας χάκερ από απόσταση να ανοίξει τις πόρτες του οχήματος ή να ξεκινήσει την μηχανή, χρησιμοποιώντας απλά γραπτά μηνύματα. Οι δυνητικές κυβερνο-επιθέσεις κατά αυτοκινήτων περιλαμβάνουν, σύμφωνα με τη βρετανική «Ντέιλι Μέιλ», την εξ αποστάσεως απενεργοποίηση του οχήματος, το κλείδωμα και ξεκλείδωμα του κινητήρα μέσω κινητού τηλεφώνου, τον εντοπισμό της ακριβούς γεωγραφικής θέσης του αυτοκινήτου, την κλοπή προσωπικών δεδομένων μέσω συστήματος Bluetooth, την παρεμπόδιση της πλοήγησης μέσω δορυφορικών συστημάτων κ.α. «Όσο ολοένα περισσότερες λειτουργίες ενσωματώνονται στην ψηφιακή τεχνολογία των αυτοκινήτων, η απειλή μιας επίθεσης και κακόβουλης χειραγώγησης αυξάνει», αναφέρει η έκθεση. Η McAfee επισημαίνει ότι η τάση των καταναλωτών-οδηγών είναι να επιθυμούν όλο και περισσότερες διασύνδεσης του οχήματός τους, ώστε να αποτελεί προέκταση του υπολογιστή και του «έξυπνου» τηλεφώνου τους, όμως προειδοποιεί τις αυτοκινητοβιομηχανίες ότι δεν πρέπει καθόλου να υποτιμήσουν τους κινδύνους από τυχόν κακόβουλο λογισμικό. Πηγή: ΑΠΕ- ΜΠΕ, Π. Δρακόπουλος

Ένα intrusion detection and prevention system (IDS/IPS) αποτελεί ένα από τα πλέον σημαντικά και αναπόσπαστα συστατικά ενός σύγχρονου και ασφαλούς web gateway. Το Network Inspection System (NIS) στον Forefront Threat Management Gateway (TMG) 2010 αποτελεί μια μοναδική από τεχνολογική άποψη εφαρμογή του IDS/IPS. Το σύστημα NIS εστιάζεται ιδαιτέρως στην αναγνώριση, πρόληψη και αντιμετώπιση των επιθεσεων στα λειτουργικά συστήματα της Microsoft και στις αντίστοιχες εφαρμογές. Το NIS χρησιμοποιεί signatures τα οποία έχουν αναπτυχθεί από το Microsoft Malware Protection Center (MMPC) και τα οποία διανέμονται διαμέσου του Windows Update γνωστό και με την ονομασία WSUS. Το NIS στον Forefront TMG 2010 παρέχει προστασία εφαρμόζοντας low-level network protocol inspection. Κάθε πακέτο υπόκειται σε ανάλυση επιπέδου protocol state, message structure, καθώς και message content. Αντιστοίχως όταν λαμβάνεται ένα πακέτο, το σύστημα NIS θα το ελένξει μόνον όταν αυτό επιτρέπετε από το firewall policy, και επίσης μόνον αφότου οποιαδήποτε συσχετιζόμενα web ή application filters το έχουν επεξεργαστεί. Υπάρχει ένα μειονέκτημα, ωστόσο. ΄Οταν υπάρχει ένα custom protocol αυτό δεν υπόκειται σε NIS inspection από τον Forefront TMG firewall εκτός και αν αυτό συσχετίζεται με ένα standard protocol. Αποτελεί συχνό φαινόμενο όπου ένας Forefront TMG firewall administrator θα δημιουργήσει ένα custom protocol για ένα standard protocol το οποίο χρησιμοποιεί μία non-standard port. Ένα από τα πλέον κοινότυπα πρωτόκολα το οποίο παραμετροποιείται να χρησιμοποιεί non-standard ports είναι το HTTP protocol. Για παράδειγμα, εάν ένας administrator καθορίσει ένα custom protocol για να υποστηρίξει μια εφαρμογή web-based η οποία με την σειρά της χρησιμοποιεί την non-standard TCP port 62112, τότε το NIS δεν θα ελένξει αυτό το traffic παρότι η επικοινωνία είναι HTTP, το οποίο αποτελεί ένα πρωτόκολο το οποίο το NIS υπό κανινικές συνθήκες το επεξεργάζεται και το ελέγχει όταν αυτό λαμβάνει χώρα πάνω από το standard TCP port 80. Για να εφαρμόσουμε το Forefront TMG NIS inspection σε ένα custom protocol θα πρέπει πρώτα να συσχετιστεί με ένα standard protocol. Στο παράδειγμά μας χρησιμοποιούμε το πρωτόκολο HTTP πάνω από ένα non-standard port, και συνεπώς θα πρέπει να συσχετίσουμε το δικό μας custom protocol με το Web Proxy Filter. Ενσυνεχεία συσχετίζουμε το custom protocol με ένα standard protocol definition, το οποίο στην προκειμένη περίπτωση είναι το HTTP Proxy. Αφότου ολοκληρώσουμε την παραπάνω διαδικασία, το Forefront TMG NIS inspection θα εφαρμοστεί στο custom protocol και η αντίστοιχη πολιτική θα πολιτική θα επιβληθεί, σύμφωνα με την τρέχουσα διαμόρφωση NIS. Ελπίζω ότι θα βρείτε το παραπάνω χρήσιμο.

Αγαπητοί συνάδελφοι της κοινότητας παρακάτω σας παραθέτω τον σύνδεσμο για να κατεβάσετε το εξαμηνιαίο vulnerabilities report. O σύνδεσμος είναι ο παρακάτω : http://www.m86security.com/documents/pdfs/security_labs/m86_security_labs_report_1h2011.pdf Επιπροσθέτως σας παρακαλώ να μελετήσετε και τα παρακάτω στοιχεία : Malware Statistics World Malware Map - May 2011 Where is most malicious code being hosted in the world? Top 5 Most Observed Vulnerabilities - May 2011 Anonymized feedback from M86 filtering installations showed most observed threats were based on the following vulnerabilities: Vulnerability Disclosed Patched Microsoft Internet Explorer RDS ActiveX 2006 2006 Office Web Components Active Script Execution 2002 2002 Adobe Reader util.printf() JavaScript Function Stack Overflow Exploit 2008 2009 Adobe Acrobat and Adobe Reader CollectEmailInfo JavaScript method buffer overflow vulnerability 2008 2008 Internet Explorer Table Style Invalid Attributes 2010 2010 Ελπίζω ότι θα σας φανούν χρήσιμα.

Αγαπητοί συνάδελφοι της κοινότητας είναι χαρακτηριστικό ότι είναι εξαιρετικά σπάνια η περίπτωση κατά την οποία θα δείτε ένα security update για οτιδήποτε σχετίζεται με τον Forefront TMG firewall. Εντούτοις, στο June 2011 security bulletin περιλαμβάνεται το update MS11-040 το οποίο επιλύει ένα privately reported vulnerability στον Forefront TMG client το οποίο ενδεχομένως μπορεί να επιτρέψει ένα remote code execution. Σας εφιστώ την προσοχή σας διότι αυτό το security εφαρμόζεται μόνον στον Forefront TMG client, και όχι στο firewall. Επιπροσθέτως, σας ενημερώνω ότι δεν εφαρμόζεται στις προηγούμενες εκδόσεις του ISA firewall client. Πριν από την εφαρμογή του MS11-040 update, η τελευταία/πρόσφατη έκδοση του Forefront TMG client ήταν το build 7.0.7734.100. Μετά την εφαρμογή του MS11-040 update, το νέο build number θα είναι το 7.0.7734.182. Ελπίζω ότι το παραπάνω θα σας φανεί ιδιαιτέρως χρήσιμο.

Αγαπητοί συνάδελφοι της κοινότητας, είναι γνωστό ότι πάρα πολύ από εμάς εργάζονται σε μικτά περιβάλλοντα. Αυτό σημαίνει ότι πρέπει να συντηρούμε υπολογιστικά συστήματα βασισμένα σε περιβάλλον Microsoft Windows, σε συνδυασμό με Linux, HP/UX, IBM AIX. Το συγκεκριμένο άρθρο σχετίζεται με την διαδραστικότητα μεταξύ Microsoft Windows Active Directory και IBM AIX, όπου το IBM AIX παρουσιάζει ένα σημαντικό κενό ασφάλειας. Για αποφυγή παρεξηγήσεων παραθέτω αυτούσιο το άρθρο στην Αγγλική γλώσσα καθώς και τα σχετικά links : http://www.cvedetails.com/vulnerability-list/vendor_id-14/product_id-17/IBM-AIX.html http://www.cvedetails.com/cve/CVE-2011-1561/ Vulnerability Details : CVE-2011-1561 The LDAP login feature in bos.rte.security 6.1.6.4 in IBM AIX 6.1, when ldap_auth is enabled in ldap.cfg, allows remote attackers to bypass authentication via a login attempt with an arbitrary password. Publish Date : 2011-04-05 Last Update Date : 2011-04-05 Collapse All Expand All Select Select&Copy Scroll To Comments External Links Click here if you can't see the dropdown menus or if you want to expand them now - CVSS Scores & Vulnerability Types Cvss Score 6.8 Confidentiality Impact Partial (There is considerable informational disclosure.) Integrity Impact Partial (Modification of some system files or information is possible, but the attacker does not have control over what can be modified, or the scope of what the attacker can affect is limited.) Availability Impact Partial (There is reduced performance or interruptions in resource availability.) Access Complexity Medium (The access conditions are somewhat specialized. Some preconditions must be satistified to exploit) Authentication Not required (Authentication is not required to exploit the vulnerability.) Gained Access None Vulnerability Type(s) Bypass a restriction or similar CWE ID 287 - Products Affected By CVE-2011-1561 # Product Type Vendor Product Version Update Edition Language 1 OS IBM AIX 6.1 Details Vulnerabilities - Number Of Affected Versions By Product Vendor Product Vulnerable Versions IBM AIX 1 - References For CVE-2011-1561 http://aix.software.ibm.com/aix/efixes/security/ldapauth_advisory.asc CONFIRM http://secunia.com/advisories/43968 SECUNIA 43968 http://securitytracker.com/id?1025273 SECTRACK 1025273 http://www-01.ibm.com/support/docview.wss?uid=isg1IZ97416 AIXAPAR IZ97416 http://www.vupen.com/english/advisories/2011/0836 VUPEN ADV-2011-0836 - Metasploit Modules Related To CVE-2011-1561 There are not any metasploit modules related to this vulnerability (Please visit www.metasploit.com for more information)

Αγαπητοί συνάδελφοι της κοινότητας, πιθανώς να έχετε βρεθεί και εσείς στην θέση, όπου σε μια εγκατάσταση Microsoft Exchange Server 2010/2010SP1 θα παρατηρήσατε μια σειρά λαθών τα οποία εμφανίζονται στο Application log αφότου το Microsoft Exchange RPC Client Access service έχει ξεκινήσει. Έχω παρατηρήσει ότι το συγκεκριμένο λάθος εμφανίζεται σε servers στους οποίους είναι εγκατεστημένο μόνον το Mailbox Role. Παρότι και ο CAS role έχει ένα service το οποίο επίσης ονομάζεται Microsoft Exchange RPC Client Access το συγκεκριμένο μήνυμα λάθους δεν έχει παρατηρηθεί ότι εμφανίζεται όταν υπάρχει εγκατεστημένο μόνο το CAS Role στον server χωρίς το Mailbox Role. Όλα τα λάθη προέρχονται από το Performance counter category name MSExchange RpcClientAccess. Αναλυτικότερα - Event ID 106, Source MSExchange Common, Level Error: Log Name: Application Source: MSExchange Common Date: 24.1.2011 21:25:17 Event ID: 106 Task Category: General Level: Error Keywords: Classic User: N/A Computer: ServerName.fqdn.local Description: Performance counter updating error. Counter name is RPC Requests, category name is MSExchange RpcClientAccess. Optional code: 3. Exception: The exception thrown is : System.InvalidOperationException: The requested Performance Counter is not a custom counter, it has to be initialized as ReadOnly. at System.Diagnostics.PerformanceCounter.Initialize() at System.Diagnostics.PerformanceCounter.set_RawValue(Int64 value) at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.set_RawValue(Int64 value) Last worker process info : System.UnauthorizedAccessException: Access to the registry key 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\Transport' is denied. at Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str) at Microsoft.Win32.RegistryKey.CreateSubKey(String subkey, RegistryKeyPermissionCheck permissionCheck, RegistrySecurity registrySecurity) at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.GetLastWorkerProcessInfo() Θα πρέπει σε αυτό το σημείο να σημειώσουμε ότι σε καμία περίπτωση δεν πρέπει να ανησυχείτε για αυτό το συγκεκριμένο λάθος. Η Microsoft έχει δημισιέυσει το παρακάτω άρθρο KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010. Μάλιστα αναφέρει επακριβώς τα παρακάτω : This problem occurs because the performance counters of the RPC Client Access service are not installed when you install only the Mailbox role on an Exchange Server 2010 server. However, this does not affect the functionality of the Exchange Server 2010 server. Οπωσδήποτε σε καμία περτωση δεν είναι ωραίο από την πλευρά ενός τεχνικού ΙΤ να παρουσιάζονται τόσα πολλά μηνύματα λαθών στον Event Viewer αμέσως μετά την επανεκκίνηση του Microsoft Exchange RPC Client Access service. Για τον λόγο αυτό παρακάτω παρουσιάζω τον τρόπο με τον οποίο εγκαθιστούμε manually τους RPC Client Access performance counters. Εγκατάσταση - Προσθήκη των RPC Client Access performance counters Εκκινούμε τον Exchange Management Shell και γράφουμε τις παρακάτω εντολές, όπου "C" ο οδηγός δίσκου στον οποίο είναι εγκατεστημένος ο Microsoft Exchange 2010 Server. Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Setup New-PerfCounters -DefinitionFileName "C:\Program Files\Microsoft\Exchange Server\V14\Setup\Perf\RpcClientAccessPerformanceCounters.xml" Κάνουμε Restart τον server ή το Microsoft Exchange RPC Client Access service. Πλέον τα μηνύματα λάθους δεν εμφανίζονται, γεγονός το οποίο κάνει τους administrators χαρούμενους… Links: KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010 How to fix/repair broken Exchange 2007 counters How to unload/reload performance counters on Exchange 2010

Αγαπητοί συνάδελφοι της κοινότητας, Στις 26-4-2011, έλαβε χώρα ένα εξαιρετικά εμπεριστατομένο τεστ αξιοπιστίας και ασφάλειας μεταξύ Microsoft Internet Explorer 9 και Google Chrome. Σας παραθέτω παρακάτω τα αποτελέσματα αυτού του τεστ αυτούσιο στην Αγγλική γλώσσα καθώς και τα σχετικά link στο διαδίκτυο. (Ελπίζω να σας φανεί χρήσιμο) Last week I looked at a fascinating sample of malware that specifically targeted users of Google Chrome. Over the past few days, I’ve been looking more closely at this particular malware attack, which appears to be widespread and extremely persistent. Social engineering has become the dominant method of distribution for fake antivirus software. And most modern browsers, with one exception, do a terrible job of dealing with this type of threat. Current builds of Chrome display a terrible flaw that puts you at greater risk than its competitors. In my testing, a malware author was able to exploit Chrome in four easy clicks. In stark contrast, Internet Explorer 9 used some new technology to flag the exact same sites and files as suspicious, providing unmistakable warnings that have been shown to stop 95% of these attacks in their tracks. I’ve captured the experience for both browsers in these two videos and in an accompanying screenshot gallery so you can see for yourself. And if you make it to page 3, you’ll read about the new reputation-based technology that’s given IE9 the lead. First a little background. Fake antivirus software has been around for at least seven years, but this category of attack has exploded in popularity among bad guys in recent months. The technique is simple social engineering, and it works by scaring the target into thinking their system has been infected with a virus (or a whole bunch of them) and then offering to fix the problem—for a fee. The fake AV software often downloads additional Trojans and can actually cause the sort of problems it claims to be solving. Here’s how it goes when you’re using Google Chrome 10 on Windows 7. Notice the attention to detail that the malware authors used in this attack. The dialog boxes and warning screens certainly look like they’re part of Google Chrome. (I recommend clicking the full-screen button in the lower right corner of the video clips below so you can see all the details in each one.) Now here’s an attack from the same set of search results, this time gathered using Internet Explorer 9. The fake scan is a pretty decent imitation of a Windows 7 security screen. But the result is different. By Ed Bott | April 25, 2011, 7:23pm PDT Malware authors target Google ChromeEvery time I write about Internet Explorer, it’s usually a matter of minutes—sometimes even seconds—until someone in the Talkback section proclaims, smugly, that they’ve switched to Google Chrome or Firefox and are therefore immune from malware attacks. They’re wrong, and malware authors have begun preying on users of alternative browsers to push dangerous software, including Trojans and scareware. The problem is that most malware attacks aren’t triggered by exploits that target vulnerabilities in code. Instead, according to one recent study, “users are four times more likely to come into contact with social engineering tactics as opposed to a site serving up an exploit.” Follow-up: Malware attempts that use Apple-focused social engineering are now in the wild. I just found one via Google Image search. See for yourself: What a Mac malware attack looks like. I found a perfect example yesterday, thanks to an alert from Silverlight developer Kevin Dente. He had typed in a simple set of search terms—Silverlight datagrid reorder columns—at Google.com, using the Google Chrome browser on Windows. You can follow along with what happened next in the screenshot gallery that accompanies this post. The first page of Google search results included several perfectly good links, but the sixth result was booby trapped. Clicking that link in Google Chrome popped up this dialog box: That led to a basic social engineering attack, but this one has a twist. It was customized for Chrome. If you’ve ever seen a Google Chrome security warning, you’ll recognize the distinctive, blood-red background, which this malware author has duplicated very effectively. After the fake scan is complete, another dialog box comes up, warning that “Google Chrome recommends you to install proper software.” That’s terrible grammar, and this social-engineering attack is likely to fail with an English-speaking victim, who should be suspicious of the odd wording. But a user whose primary language is something other than English might well be fooled. And the malware author has anticipated the possibility that you might click Cancel in the dialog box. If you do, it still tries to download the malicious software. Each time I visited this page, the download I was offered was slightly different. My installed antivirus software (Microsoft Security Essentials) didn’t flag it as dangerous. When I submitted it to VirusTotal.com, only five of the 42 engines correctly identified it as a suspicious file. Less than 8 hours later, a second scan at VirusTotal was a little better. This time, eight engines confirmed that the file was suspicious. Microsoft’s virus definitions had been updated and a scan identified the rogue file as Win32/Defmid. Panda and Prevx identified the file as “Suspicious” and “Medium risk malware,” respectively. BitDefender, F-Secure, and GData flagged it as “Gen:Trojan.Heur.FU.quX@am@e97ci.” AntiVir detected it as “TR/Crypt.XPACK.Gen.” Kaspersky says it is “Trojan-Downloader.Win32.FraudLoad.zdul.” Every other antivirus engine, as of a few minutes ago, waved this suspicious executable right through. Meanwhile, back in the browser, Google Chrome’s warnings are completely generic. If you download the software it shows up in the Downloads folder looking perfectly innocent. Interestingly, this set of “poisoned” search terms also affected Bing, although the dangerous search result was on a different site, which didn’t show up until the fifth page of search results. And the download that it offered was, apparently, a completely different Trojan/scareware product. But the end result would have been the same, regardless of which browser I was using. This case study shows that malware authors are beginning to adapt to changing habits of PC users. There’s nothing inherently safer about alternative browsers—or even alternative operating systems, for that matter—and as users adapt, so do the bad guys. Be careful out there.

Αν και αρχικώς τα συγκεκριμένα Vulnerabilities είχαν εντοπιστεί στις 5 Μαρτίου 2011, εντούτοις μια προσεκτική ανάλυση από την ομάδα ασφαλείας του FortiNet Security Blog, κατέδειξε την επικυνδυνότητά τους. Παρακάτω σας παραθέτω το πρωτότυπο κείμενο στην Αγγλική γλώσσα προς μελέτη. We are pretty busy these days with malicious samples on Android. You probably haven’t missed DroidDream (Android/DrdDream.A!tr) which trojaned several applications on the Android Market and several blog posts on the matter: Lookout explains how the malware was discovered, which applications it targets and whether you should be concerned or not. By the way, we thank them for sharing samples with us. AndroidPolice explains the malware uses the rageagainstthecage root exploit, and that malicious applications have been pulled out of the market Kaspersky reminds the dark sides of the Android Market and iPhone jailbreaking AegisLab explains the malware uses JNI and collects /proc information (the sample they analyze is slightly different from the one we refer to in this post). But there are still a few additional questions – that I intend to cover in this blog post. DroidDream does not use ONE vulnerability but TWO In the sample we analyzed, those files are located in the asset directory of the package: $ ls -al -rw-r--r-- 1 axelle users 15295 Jan 14 11:04 exploid -rw-r--r-- 1 axelle users 3868 Jan 14 11:04 profile -rw-r--r-- 1 axelle users 5392 Jan 14 11:04 rageagainstthecage -rw-r--r-- 1 axelle users 14076 Feb 15 14:59 sqlite.db drwxr-xr-x 4 axelle users 4096 Mar 2 11:04 www exploid corresponds to this local root exploit, and it is tried in case rageagainstthecage does not work. The idea behind rageagainstthecage create many processes, reach the maximum limit of user processes, so that the next time the adbd process is run it cannot surrender its root permissions. Both files are local root privilege escalation exploits. Below, the logs show exploid was called but failed on my android emulator: W/System.err( 246): java.io.IOException: Error running exec(). Commands: [/data/data/com.droiddream.bowlingtime/files/exploid, /dev/block/mtdblock1, yaffs2] Working Directory: null Environment: null D/AudioSink( 31): bufferCount (4) is too small and increased to 12 W/MediaPlayer( 240): info/warning (1, 44) W/System.err( 246): at java.lang.ProcessManager.exec(ProcessManager.java:196) W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:225) W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:313) W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:246) W/System.err( 246): at com.android.root.udevRoot.runExploid(udevRoot.java:134) W/System.err( 246): at com.android.root.udevRoot.go4root(udevRoot.java:230) W/System.err( 246): at com.android.root.Setting.onCreate(Setting.java:265) profile is a shell – we will talk about this one later. sqlite.db actually isn’t a SQLite database but an Android package named com.android.providers.downloadsmanager the malware will install on the infected device. Finally the www directory contains the real assets (images) used by the real foreground application (e.g bowling game). DroidDream posts the victim’s IMEI, IMSI etc – but no need to root a phone to do that One of the first things the malware does is post the phone’s IMEI, IMSI, Android version to a remote website whose URL is XOR encrypted. The key is hard-coded in another class, named Setting.class. A little bit of Java decompiling and copy/paste in a quick n’ dirty standalone program, and we decrypt the URL: The information is posted (HTTP POST) using the XML format: <?xml version="1.0" encoding="UTF-8"?> <Request> <Protocol>1.0</Protocol> <Command>0</Command> <ClientInfo> <Partner>502</Partner> <ProductId>10011</ProductId> <IMEI>YOUR IMEI</IMEI> <IMSI>YOUR IMSI</IMSI> <Modle>YOUR DEVICE SDK</Modle> </ClientInfo> </Request> Posting the IMEI, IMSI etc is not the real goal of the malware, since you do not need to root the phone for that, but only the READ_PHONE_STATE permission. A r00t shell – that’s awesome (from a malware author’s perspective! ) It seems that what the malware author really wanted to install is the profile binary (see above, in the assets directory). Once the phone is rooted, the malware copies profile to /system/bin/profile and sets root permissions to the file: chown 0.0 /system/bin/profile chown root.root /system/bin/profile chmod 6755 /system/bin/profile Actually, the /system/bin/profile file also acts as an r00ted indicator: if the file exists, the phone has been rooted, if not, the malware tries to root the phone. So, as a quick hack, some developers suggest to create a dummy /system/bin/profile on your phone and be immune to the malware (more exactly the malware won’t be able to operate). A quick analysis of profile with a disassembler shows this executable merely does a setgid, then a setuid, and finally executes (excv) a shell. The malware author installed a root shell on the infected device. But so far, this shell is not used remotely. To me, it looks more like the work of a (dark) hacker than what cyber-criminals usually do. Unless the next step is to download a malware upgrade (via the downloads manager package) and monetize this root shell… Thanks to David Maciejak for his help on Android vulnerabilities. – the Crypto Girl Author bio: Axelle Apvrille's initial field of expertise is cryptology, security protocols and OS. She is a senior antivirus analyst and researcher for Fortinet, where she more specifically looks into mobile malware. Ελπίζω ότι θα το βρείτε ιδιαίτερα χρήσιμο.

Ένα νέο πρόβλημα δημοσιεύτηκε στην ιστοσελίδα Vupen Security (http://www.vupen.com/english/advisories/2011/1162), και αφορά ένα σημαντικό κενό ασφάλειας το οποίο ανιχνεύθηκε στα προϊόντα της CheckPoint. Το αυθεντικό κείμενο παρουσιάζεται παρακάτω : VUPEN ID VUPEN/ADV-2011-1162 CVE ID CVE-2011-1827 CWE ID Available in Customer Area CVSS V2 Available in Customer Area Rated as Critical Impact Available in Customer Area Authentication Level Available in Customer Area Access Vector Available in Customer Area Release Date 2011-05-03 Share Technical Description A vulnerability has been identified in Check Point products, which could be exploited by remote attackers to compromise a vulnerable system. This issue is caused by an error in the SSL Network Extender (SNX), SecureWorkSpace and Endpoint Security On-Demand application when deployed through a browser, which could allow attackers to execute arbitrary code by tricking a user into visiting a specially crafted web page. Affected Products Check Point SecurePlatform Check Point IPSO6 Check Point Connectra Check Point VSX Solution Apply patches : https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410 References http://www.vupen.com/english/advisories/2011/1162 https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410 Credits Vulnerability reported by Johannes Greil (SEC Consult). Changelog 2011-05-03 : Initial release

1. Εισαγωγή Ορισμένες φορές η επίλυση προβλημάτων τα οποία οφείλονται σε λάθος προγραμματισμό των publishing rules μπορεί να εξελεχθεί σε μια επίπονη και απαιτητική διαδικασία. Ο κύριος λόγος είναι ότι υπάρχει μια λεπτή διαχωριστική γραμμή μεταξύ του published server και του firewall (στην συγκεκριμένη περίπτωση του ISA/TMG Server). Συνεπώς το ερώτημα είναι σε πιο σημείο έχει διαραγεί η επικοινωνία? Μήπως ο ISA/TMG Server δεν επιτρέπει την σύνδεση από έξω (outside) ή μήπως ο published server είναι αυτός ο οποίος δεν απαντά στα αιτήματα τα οποία αποστέλλει ο ISA/TMG Server? Στο σημείο αυτό θα πρέπει να αναφέρω ότι σημαντική βοήθεια στο να κατανοήσουμε πως λειτουργούν τα πρωτόκολα προσφέρει η σειρά των άρθρων τουν Jim Harrison σχετικά με το RPC over HTTP καθώς επίσης συμβάλει και στην ανάπτυξη μιας μεθοδολογίας επίλυσης προβλημάτων τα οποία είναι δυνατόν να προκύψουν όταν υλοποιούμε το publishing Outlook Anywhere διαμέσου του ISA Server 2006/TMG 2010. 2. Γενικές Συστάσεις Η κύρια σύσταση είναι η χρήση των official white paper στα οποία παρουσιάζεται μια βήμα προς βήμα configuration μέθοδος για το publishing του OWA 2007 διαμέσου του ISA Server 2006. Αντιστοίχως για τον TMG 2010 το official white paper μπορείτε να το κατεβάσετε κάνοντας κλικ εδώ. 2.1. Επιλογές Authentication Όταν υλοποιούμε το publishing του OWA 2007/2010 διαμέσου του ISA Server 2006/TMG 2010 έχουμε δύο επιλογές για την ρύθμιση του FBA (Forms Based Authentication): · Επιλογή 1 (Η πιο συνήθης): Απενεργοποιούμε το Forms Base Authentication στο Exchange OWA side και ενεργοποιούμε το FBA στον ISA Server 2006/TMG 2010 Web Listener. Εικόνα 1– Authentication properties. Σημείωση : Όταν έχουμε επιλεγμένο το Basic Authentication στο OWA όπως αυτό παρουσιάζεται στην παραπάνω εικόνα, θα πρέπει να διασφαλίσουμε ότι στο Authentication Delegation tab στον ISA Server 2006/TMG 2010, το OWA Publishing rule έχει επιλεγμένο το Basic Authentication. · Επιλογή 2 (Σπάνια Χρησιμοποιείται): Δεν εφαρμόζουμε το authenticate στον ISA Server 2006/TMG 2010 αλλά χρησιμοποιούμε το Forms Based Authentication στον Exchange Server: Εικόνα 2 – Η δεύτερη επιλογή για το authentication. 2.2. Θέματα τα οποία αφορούν τα Certificates Όταν υλοποιούμε το publishing του OWA 2007/2010 μπορούμε να χρησιμοποιήσουμε το SAN Certificate στο Exchange OWA side. Εντούτοις το FQDN name το οποίο ενφανίζεται στο To Tab στον ISA Server 2006TMG 2010 OWA Publishing rule είναι υποχρεωτικό να ταυτίζεται με το first name στο SAN Certificate όπως ακριβώς απεικονίζεται στην εικόνα παρακάτω : Εικόνα 3 – Λεμπτομέριες του SAN Certificate. 3. Θέματα Troubleshooting - Τα πιο πιθανά σενάρια (Το κείμενο είναι στην Αγγλική γλώσσα διότι τα θέματα αυτά έχουν συλλεχθεί από διάφορα forums) 3.1. I can access the OWA page, authenticate using Forms Base but after the first authentication I receive another page asking for authentication again. Make sure that you have forms base authentication enabled only on ISA Server or only on the Exchange. Review the session 2.1 for more information. 3.2. After authenticate on the OWA Forms Base Authentication I receive the error: Target principal name is incorrect. Make sure that of the following: · The name on the certificate that is installed on the Exchange Server matches with the name on the To tab for the OWA Publishing Rule on ISA Server. Review session 2.3 for more information. · The Exchange Server name (usually the CAS Server) is correct on the To tab on the OWA Publishing Rule on ISA Server. · ISA Server 2006 can correctly resolve this FQDN for the correct IP. 3.3. I cannot even access the OWA Page, when I type the address https://mail.contoso.com on IE I receive the error: 403 Access Forbidden. When you create an OWA 2007 Publishing Rule only the following paths are allowed by default: Εικόνα 4 – Default paths for OWA 2007. When you type https://mail.contoso.com without use /owa or the other paths that are allowed by this rule it is expected to receive the 403 since ISA Server is restricting the paths for security purpose. 3.4. I’m typing the address https://mail.contoso.com/owa on Internet Explorer, I can reach the FBA page, authenticate but after that I’m receiving the error: 404 Not Found. Make sure that the ISA Server 2006 can reach the Exchange Server that it is using on the To tab. Try to validate using the following methods: · From the ISA Server ping the FQDN name of the Exchange Server that is in use on the OWA Publishing to make sure that is resolving to the correct IP. · Telnet from ISA Server to the FQDN of the Exchange Server and use the port that appears on the Bridging tab as show below and see if you receive an answer (telnet exc2007.contoso.msft 443): Εικόνα 5 – Bridging Tab. · If all tests succeed then enable logging on ISA Server (ISA Console / Monitoring / Logging) and create a filter where the source is the External network. Try to reproduce the problem and check if you see the error below: Εικόνα 6 – Failed connection attempt to the Exchange Server (error 10060). The error 10060 showed above means that the connection timed out. Usually this error means: · Connectivity issue between ISA Server and the Exchange Server that is being used by this publishing rule. · The ISA Server is sending the package by for some reason the Exchange Server is not replying in appropriate manner. Review the following: · There is any other firewall in between ISA Server and the Exchange Server? If it does, can we bypass that? If we can’t bypass, make sure that the ports are allowed in both ways. Use PortQuery to test that from the ISA to the Exchange Server. · A netmon trace on the internal NIC of the ISA and on the Exchange Server might show what is happening. · The IIS Logs on the OWA also will help to see if the traffic is hitting the OWA Server. 3.5. I’m typing the address https://mail.contoso.com/owa on Internet Explorer, I can reach the FBA page, authenticate but after that I’m receiving the error: 10061 Connection Refused. The error code 10061 means: A connection was refused by the destination host. This error means that ISA Server tried to contact the published server (in this case the Exchange Server) and this server refused the request for some reason. This usually happens because ISA Server tried to contact the published server on a port that is not allowed on the destination server. Review the Bridging tab on the OWA Publishing rule to make sure that this port matches with the port that OWA is using on the IIS web site: Εικόνα 7 – IIS properties matching with the Bridging tab. If you also use the ISA Server Monitoring Logging you will see the error below: Εικόνα 8 – Failed connection attempt to the Exchange Server (error 10061). For more information about the error code see the ISA Server 2006 Logging Fields and Values article. For TMG 2010 the link is here. 3.6. I can authenticate on the FBA page, I can see my OWA inbox but I’m unable to create a new message and the buttons on the toolbar doesn’t work. Everything works fine internally (bypassing the ISA Server). Don’t set your mind to think that if works internally and externally doesn’t then the issue is on the ISA Server. There are some 3rd Party ISAPI filters (for example the one mentioned on KB 924228 ) that could be installed on the Exchange Server (Backend, FrontEnd, CAS or Mailbox Server) that can cause this behavior when the traffic crosses the ISA Server. A more in depth investigation will be necessary to determine the root cause in this situation. 4. Συμπέρασμα Όπως αντιλαμβάνεστε, η προσπάθεια στο άρθρο αυτό είναι να παρουσιαστούν τα πλέον συνήθη προβλήματα τα οποία μπορούν να προκύψουν όταν υλοποιούμε το OWA publishing διαμέσου του ISA Server 2006/TMG 2010. Εάν παρόλα αυτά, τα προβλήματα συνεχίζονται καλό είναι σε πρώτη φάση να χρησιμοποιήσετε το ISA Server BPA και TMG 2010 Server PBA αντίστοιχα, και να ελένξουμε σχοαλστικά μήπως υπάρχει κάποια πρόταση για την επίλυση του προβλήματος και εν συνεχεία να ζητήσουμε την βοήθεια του Microsoft ISA/TMG Support.and check if there is any recommendation on that.

Αγαπητοί συνάδελφοι της κοινότητας σε αυτό το άρθρο θα παρουσιάσουμε εκείνα τα τεχνικά χαρακτηριστικά του Forefront TMG 2010, τα οποία μας επιτρέπουν να καθορίζουμε και να βελτιώνουμε το endpoint protection strategy ενός οργανισμού και να εκτελούμε διεργασίες όπως URL filtering, malware inspection, intrusion detection/prevention, και HTTPS inspection. Εισαγωγή Ο Forefront Threat Management Gateway (TMG) 2010 αποτελεί έναν integrated edge security gateway ο οποίος λειτουργεί ως ένα enterprise-class firewall, caching proxy (forward and reverse), και VPN (remote access and site-to-site) server. Μπορεί να εγκατασταθεί με όλα αυτά τα χαρακτηριστικά ή με κάποιο υποσύνολο αυτών. Όταν εγκατασταθεί ως forward proxy server, ο TMG firewall μπορεί να συμβάλλει στην θεαματική βελτίωση της ασφάλειας ενός οργανισμού - (overall security posture) - εκτελώντας εργασίες όπως advanced network και application layer traffic inspection, καθώς επίσης θέτει σε εφαρμογή διαδικασίες όπως το enforcing strong user και group-based authentication. Στο συγκεκριμένο άρθρο θα ασχοληθούμε με τα URL filtering, malware inspection, intrusion detection/prevention, και HTTPS inspection και πως αυτά τα χαρακτηριστικά μπορούν να βελτιώσουν και να συμπληρώσουν αντίστοιχα μια υπάρχουσα endpoint protection strategy. URL Filtering Με τις ενσωματωμένες δυνατότητες URL filtering, οι TMG firewall administrators έχουν τώρα την δυνατότητα να εφαρμόζουν reputation-based access controls στο web-based traffic. Το URL filtering αποτελεί την πρώτη γραμμή άμυνας σε ένα μοντέρνο και ασφαλές web gateway, και συνεπώς έχοντας πρόσβαση σε υπηρεσίες reputation για τα επισκεπτόμενα web sites ο administrator μπορεί πλέον να προλάβει και να μην επιτρέψει στους χρήστες να έχουν πρόσβαση σε ιστοσελίδες/ιστότοπους οι οποίοι έχουν διαπιστωμένα κακόβουλο περιεχόμενο. Το Web site categorization διαχειρίζεται από την υπηρεσία Microsoft Reputation Services (MRS). Το MRS αποτελεί μια cloud-based categorization service όπου ο TMG firewall την αξιοποιεί για να καθορίσει σε ποια κατηγορία το συγκεκριμένο web site ανήκει. Αμέσως μετά την κατηγοριοποίηση του συγκεκριμένου site, ένα firewall policy processing θα καθορίσει εάν το αίτημα για πρόσβαση θα επιτραπεί ή δεν θα επιτραπεί. Για να ενεργοποιήσουμε το URL filtering, κάνουμε highlight το Web Access Policy node και στο navigation tree κάνουμε κλικ στο Configure Web Access Policy στο Tasks pane. Το Web Access Policy wizard θα μας οδηγήσει βήμα προς βήμα για να ενεργοποιήσουμε το URL filtering καθώς επίσης και να παραμετροποιήσουμε μια προκαθορισμένη web access policy χρησιμοποιώντας συνιστόμενα URL categories. Εικόνα 1 Επιπροσθέτως, το Web Access Policy wizard θα ενεργοποιήσει και θα παραμετροποιήσει επίσης το malware inspection, το HTTPS inspection, και το content caching αντίστοιχα. Malware Inspection Με δεδομένο το ότι η λύση του URL filtering είναι 100% αποτελεσματική - (Βεβαίως καλό είναι να έχουμε υπόψην μας ότι είναι αδύνατον να κατηγοριοποιήσουμε όλες τις ιστοσελίδες του διαδικτύου) - είναι αναπόφευκτο ότι σε κάποια χρονική στιγμή οι χρήστες θα επισκεφθούν κάποια ιστοσελίδα η οποία θα περιέχει κακόβουλο περιεχόμενο. Για να μπορέσει να δώσει λύση και σε αυτές τις περιπτώσεις, ο TMG περιλαμβάνει μια gateway-integrated scanning engine για να προλαβαίνει και απαγορεύει virus και malicious software downloads. Η συγκεκριμένη μηχανή σάρωσης (scanning engine) ηοποία περιλαμβάνεται στον TMG είναι η Microsoft anti-malware scanning engine η οποία περιλαμβάνεται σε μια πληθώρα τεχνολογιών προστασίας Forefront όπως ο Forefront Protection for Exchange (FPE), ο Forefront Protection for SharePoint (FPSP), και ο Forefront Endpoint Protection (FEP), για να αναφέρουμε μερικές από αυτές. Είναι επίσης το ίδιο scanning το οποίο χρησιμοποιείται στα Microsoft Security Essentials (MSE). Η μηχανή σάρωσης αυτή είναι γρήγορη, ακριβής και παράγει ελάχιστα false positives. Για να ενεργοποιήσουμε το virus και το malicious software scanning, κάνουμε highlight στο Web Access Policy node στο navigation tree, και εν συνεχεία κάνουμε κλικ στο Configure Malware Inspection στο Tasks pane, και τέλος επιλέγουμε το Enable Malware Inspection. Εικόνα 2 Το Virus και το malware scanning είναι πλήρως παραμετροποιήσημα στον TMG, παρέχοντας στον administrator την δυνατότητα του granular control πάνω σε κάθε τύπο περιεχομένου το οποίο πρόκειται να σαρωθεί αλλά και την μέθοδο/τρόπο με τον οποίο το περιεχόμενο αυτό θα σαρωθεί. Στο σημείο αυτό ο administrator μπορεί να παραμετροποιήσει πιθανά exemptions στο scanning policy τα οποία διακρίνονται βάση του source ή του destination, και να καθορίσει επίσης πότε τα signature updates θα παραλαμβάνονται καθώς πότε και με πιο τρόπο θα εφαρμόζονται. Σημείωση : Το URL filtering και το malware scanning απαιτούν το Web Protection Service subscription license. Μια άδεια ενεργοποιεί και τα δύο αυτά χαρακτηριστικά. Περισσότερες πληροφορίες σχετικά με το θέμα αυτό μπορείτε να βρείτε σε αυτό το link. Network Inspection System Οι Malicious software authors πολύ συχά θα προσπαθήσουν να ανακαλύψουν vulnerabilities τα οποία μπορεί να υπάρχουν στα Microsoft operating systems, applications, και στα networking protocols. Για να δώσει λύση και σε αυτά τα ζητήματα προστασίας ο TMG firewall περιλαμβάνει το Network Inspection System (NIS). Το NIS αποτελεί ένα καινούριο vulnerability-based intrusion detection και prevention σύστημα το οποίο εφαρμόζει διαδικασίες ελέγχου low-level protocol inspection έτσι ώστε να είναι σε θέση να αναγνωρίσει και να απαγορεύσει επιθέσεις οι οποίες σχετίζονται με αυτά τα vulnerabilities. Τα Signatures αναπτύσσονται από το Microsoft Malware Protection Center (MMPC) και κυκλοφορούν ταυτόχρονα μαζί μετα security updates ή σε άμεση απάντηση σε zero-day vulnerabilities. Όταν το NIS ενεργοποιηθεί προλαμβάνει αυτά τα vulnerabilities από το να αξιοποιηθούν από απόσταση (exploited remotely) και μειώνει δραματικά το παράθυρο έκθεσης μέχρι να κυκλοφορήσει το αντίστοιχο Patch διόρθωσης. Για να ενεργοποιήσουμε το NIS, κάνουμε highlight στο Intrusion Prevention System node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure Properties στο Tasks pane, όπου εκεί επιλέγουμε το Enable NIS. Εικόνα 3 Το NIS επιθεωρεί την κυκλοφορία στο δίκτυο (network traffic) και μπορεί να προσδιορίσει πότε ένα πρωτόκολλο που δεν είναι σύμφωνο με τα πρότυπα. Αυτά τα protocol anomalies μπορούν είτε να επιτρέπονται είτε να απαγορεύονται. Επιπροσθέτως το NIS μπορεί να παραμετροποιηθεί έτσι ώστε να μην ελέγχει επιλεγμένες ιστοσελίδες - (exempt specific trusted sites from inspection) - εφ'οσον αυτό απαιτείται. HTTPS Inspection Το HTTPS communication αποτελεί μια ειδικού χαρακτήρα πρόκληση για αρκετά firewalls. Συχνά αναφέρεται και ως “universal firewall bypass protocol”, το HTTPS κρυπτογραφεί application layer data με αποτέλεσμα ακόμη και τα πιο προηγμένα application layer firewalls να μην μπορούν να κάνουν έλεγχο στις επικοινωνίες αυτής της μορφής. Για αρκετα χρόνια οι virus και malware authors χρησιμοποιούσαν το HTTPS ως μέθοδο για την αποστολή malicious ή infected payloads διαμέσου των secure web gateways χωρίς να γίνονται αντιληπτοί. Κακόβουλοι χρήστες έχουν χρησιμοποιήσει το HTTPS ως κανάλι για να παρακάμψουν τον έλεγχο της πρόσβασης από το proxy avoidance software. Το HTTPS inspection κλείνει οριστικά αυτό το loophole. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall αντιγράφει το originally requested SSL certificate και παρέχει στο χρήστη ένα αντίγραφο. Ο TMG firewall μπορεί τώρα να κάνει τερματισμό στο SSL session στο επίπεδο του Internal network interface να προχωρήσει σε αποκωδικοποίηση και έλεγχο όλου του outbound HTTPS communication. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall έχει πρόσβαση στο αποκωδικοποιημένο application layer data γεγονός το οποίο έχει αρκετά θαρικά χαρακτηριστικά. Ο TMG firewall έχει τώρα δυνατότητα πρόσβασης στο full request path, και όχι μόνον στην ΙP address του συγκεκριμένου site. Με αυτήν την επιπρόσθετη πληροφορία μπορεί νε εφαρμόσει με περισσότερη ακρίβεια το URL filtering. Επίσης ο TMG firewall μπορεί τώρα να εφαρμόσει μια HTTP policy βάση της οποίας γίνεται έλεγχος στο περιεχόμενο των viruses και του κακόβουλου λογισμικού. Για να ενεργοποιήσουμε το HTTPS inspection, κάνουμε highlight στο Web Access Policy node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure HTTPS Inspection στο Tasks pane. Εκεί επιλέγουμε το Enable HTTPS Inspection καθώς επίσης και το Inspect traffic and validate site certificates. Εικόνα 4 Το HTTPS inspection απαιτεί ένα server certificate να είναι εγκατεστημένο και παραμετροποιημένο στον TMG firewall. Μπορούμε να δημιουργήσουμε ένα self-signed certificate επιλέγοντας το Use Forefront TMG to generate a certificate και αμέσως μετά κάνουμε κλικ στο Generate… button. Εναλλακτικά μπορούμε να εισάγουμε ένα certificate από ένα υπάρχον εσωτερικό PKI επιλέγοντας το Import a certificate και κάνοντας κλικ αμέσως μετά στο Import… button. Από την στιγμή κατά την οποία θα ενεργοποιηθεί, ο TMG administrator μπορεί να εξαιρεί ορισμένες αιτήσεις, καθορίζοντας specifying source και destination exceptions. Σε συνδυασμό δε με το URL filtering, τα destination exceptions μπορούν να είναι URL categories ή URL category sets (π.χ. Financial or Health). Επιπροσθέτως Certificate validation options και client notification μπορούν επίσης να καθοριστούν. Συμπέρασμα Όταν εγκατασταθεί ως secure web gateway, ο Forefront Threat Management Gateway (TMG) 2010 firewall αποτελεί ένα multi-layered perimeter defense σύστημα το οποίο παρέχει ένα υψηλό επίπεδο προστασίας στους clients. Το URL filtering διασφαλίζει ότι οι clients δεν μπορούν να συνδεθούν σε όλα τα γνωστά κακόβουλα sites.Το ενσωματωμένο virus και malicious software scanning προλαμβάνει τους χρήστες από το να κατεβάσουν infected αρχεία, και το Network Inspection System προλαμβάνει επιθέσιες σε software vulnerabilities οποιουδήποτε Microsoft operating system ή application. Το HTTPS inspection αντίστοιχα βελτιώνει θεαματικά όλους τους παραπάνω μηχανισμούς προστασίας εφαρμόζοντας έλεγχο σε όλο το outbound encrypted communication. Ολοκληρώνοντας μιας και όλοι αυτοί οι προηγμένοι μηχανισμοί προστασίας εφαρμόζονται στο gateway και παρέχουν προστασία όχι μόνον στους managed clients, αλλά και στους στους non-managed clients επίσης. Ελπίζω ότι το συγκεκριμένο άρθρο θα το βείτε ιδιαίτερα χρήσιμο.

Αγαπητοί συνάδελφοι της κοινότητας σε συνέχεια του άρθρου υλοποίσης VPN Tunnel μεταξύ του Juniper SRX και του Microsoft Forefront TMG 2010 Secure Gateway προχωρούμε ένα βήμα παρακάτω και υλοποιούμε ένα VPN μεταξύ του Cisco ASAs 5505 και του Forefront TMG 2010. Και σε αυτήν την προσπάθεια το αποτέλεσμα στέφθηκε από επιτυχία. Έτσι λοιπόν θα έχουμε δύο λειτουργικά VPN configurations κάνοντας χρήση εξοπλισμού από διαφορετικούς κατασκευαστές. Ουσιαστικά χρησιμοποιούμε το ίδιο setup, με μόνη αλλαγή την χρησιμοποιήση ορισμένων διαφορετικών IP addresses λαθώς επίσης και την αλλαγή στο σχεδιάγραμμα λειτουργίας στο οποίο αντικαθιστούμε το σύστημα SRX με το αντίστοιχο του ASA symbol : Όσον αφορά τα βήματα του wizard για λόγους συντομίας μπορείτε να τα βρείτε στο προηγούμενο άρθρο. Απλά προχωρούμε στις απαραίτητες αλλαγές των “default” settings στο IPSec configuration και χρησιμοποιούμε έναν διαφορετικό συνδυασμό στο Phase II συγκρινόμενον με αυτόν του SRX VPN έτσι να είμαστε συμβατοί με τον εξοπλισμό Cisco. Phase I: Εncryption = 3DES, auth SHA1, DH group2, lifetime 28800 seconds Phase II: Εncryption = 3DES, integrity SHA1, rekey 4608000bytes and/or 3600 seconds, pfs group2 Σε καμία περίπτωση δεν θα πρέπει να ξεχάσουμε να επανεκκινήσουμε (restart) τα TMG services μετά από την επιτυχημένη υλοποίηση του configuration …. Το τελικό VPN παρουσιάζεται παρακάτω: Ο VPN wizard δημιούργησε επίσης το παρακάτω network object: Καθώς επίσης και το ακόλουθο access rule: Το χαρακτηριστικό αυτό είναι ιδιαιτέρως χρήσιμο και αποτελεσματικό διότι μας επιτρέπει να να κάνουμε setup για το προς υλοποίηση VPN χωρίς να είναι απαραίτητο να περάσουμε διαμέσου όλων των ενδιάμεσων βημάτων στοιχείο το οποίο από μόνο εγκυμονεί την πιθανότητα λαθών. Συνεπώς η Microsoft μας βοηθά με την χρήση έξυπνων Wizards να αποφύγουμε την πιθανότητα δημιουργίας λαθών (misconfiguration). Μετά από το setup και το restart, προχωρούμε στην παραμετροποίηση του Cisco ASA 5505 εφαρμόζοντας ένα απλό VPN site-to-site setup: crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 28800 crypto ipsec transform-set TMGTrans esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 3600 crypto ipsec security-association lifetime kilobytes 4608000 access-list toTMG extended permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0 access-list toTMG extended permit ip 192.168.13.0 255.255.255.0 192.168.114.0 255.255.255.0 tunnel-group 172.16.100.183 type ipsec-l2l tunnel-group 172.16.100.183 ipsec-attributes pre-shared-key * crypto map TMGVPN 10 match address toTMG crypto map TMGVPN 10 set pfs crypto map TMGVPN 10 set peer 172.16.100.183 crypto map TMGVPN 10 set transform-set TMGTrans crypto map TMGVPN interface outside Όπως θα παρατηρήσουμε το ping μεταξύ των δύο laptops παρουσιάζει τα αναμενόμενα αποτελέσματα στον Forefront TMG 2010: Αντιστοίχως στον ASA: Το IKE SA ciscoasa(config)# show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.16.100.183 Type : L2L Role : responder Rekey : no State : MM_ACTIVE Το IPSec SA: ciscoasa(config)# show crypto ipsec sa interface: outside Crypto map tag: TMGVPN, seq num: 10, local addr: 172.16.100.160 access-list toTMG permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.114.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.13.0/255.255.255.0/0/0) current_peer: 172.16.100.183 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 6, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.100.160, remote crypto endpt.: 172.16.100.183 path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: D988A73B inbound esp sas: spi: 0xC740C5FB (3342910971) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 77824, crypto-map: TMGVPN sa timing: remaining key lifetime (kB/sec): (3914999/3553) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x000001FD outbound esp sas: spi: 0xD988A73B (3649611579) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 77824, crypto-map: TMGVPN sa timing: remaining key lifetime (kB/sec): (3914999/3553) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 Ελπίζω ότι θα βρείτε το συγκεκριμένο άρθρο χρήσιμο. (Υπενθύμιση : Συγγραφέας του άρθρου είναι ο Alex Dittman)