Jordan_Tsafaridis

Members

View Profile See their activity

Posts
106
Joined
January 28, 2009
Last visited
November 1, 2012

Content Type

All Activity

Profiles

Articles

Forums

Topics
Posts

Blogs

Blog Entries posted by Jordan_Tsafaridis

Sort By

Σχετικά με το νέο Stuxnet-Like Worm Duqu - Μέρος 2ο

By Jordan_Tsafaridis, October 25, 2011
Όπως και στο προηγούμενο άρθρο μου σχετικά με την ανακάλυψη του νέου Stuxnet-like worm με το όνομα Duqu ενδιαφέρον παρουσιάζει και το άρθρο του Jeff James το οποίο δημοσιεύθηκε στις 19/10/2011 και ώρα 12:14μμ στον ιστότοπο www.windowsitpro.com το οποίο παρουσιάζει επιπλέον πληροφορίες σχετικά με το νέο worm. Ζητώ και πάλι την κατανόησή σας, αλλά πιστεύω ότι το συγκεκριμένο άρθρο δεν προσφέρεται για μετάφραση και για τον λόγο αυτό το παραθέτω αυτούσιο στην Αγγλική γλώσσα.

In June 2010, security experts, analysts, and software providers were
warning IT managers about Stuxnet, a new computer worm that was
spreading rapidly over the internet. Stuxnet was distributed by Windows
machines, and the intent of the worm wasn't immediately clear. After a
few months it was revealed that the vast majority of Stuxnet infections
were in Iran, and Stuxnet seemed to have been specifically targeting the
Siemens industrial control equipment used in the Iranian nuclear
program.
German security expert Ralph Langner was interviewed by NPR reporter Tom Gjelten
earlier this year about Stuxnet, and Gjelten reported that Langner told
him that the worm was so complex and sophisticated that it was "almost
alien in design" and believed that only the United States had the
resources required to create Stuxnet and orchestrate the attack. As more
details emerged, it became clear that Stuxnet was likely developed by
either Israeli or American intelligence agencies in an attempt to impede
Iran's nuclear program.
Both Israeli and American security
officials have sidestepped questions about their involvement, but Gary
Samore, White House Coordinator for Arms Control and Weapons of Mass
Destruction, stated at a December 2010 conference on Iran that "we're
glad they [the Iranians] are having trouble with their centrifuge
machine and that we – the US and its allies – are doing everything we
can to make sure that we complicate matters for them." [source: NPR’s Need to Know]
Now security researchers from Symantec have revealed that they've discovered a new Stuxnet-like worm called W32.Duqu that shares much of the same code with Stuxnet. Symantec's Security Research blog posted details about Duqu yesterday:

"Duqu
shares a great deal of code with Stuxnet; however, the payload is
completely different. Instead of a payload designed to sabotage an
industrial control system, the payload has been replaced with general
remote access capabilities. The creators of Duqu had access to the
source code of Stuxnet, not just the Stuxnet binaries. The attackers
intend to use this capability to gather intelligence from a private
entity to aid future attacks on a third party. While suspected, no
similar precursor files have been recovered that predate the Stuxnet
attacks.
According to Symantec, Duqu also functions as a
keylogger designed to "capture information such as keystrokes and
system information" but lacks the specific code related to "industrial
control systems, exploits, or self-replication." Symantec's research
team believes that Duqu is collecting information for a possible future
attack, and seem to point the finger at the original creators of
Stuxnet, since the creators of Duqu seem to have direct access to
Stuxnet source code:

The creators of Duqu had access to
the source code of Stuxnet, not just the Stuxnet binaries. The
attackers intend to use this capability to gather intelligence from a
private entity to aid future attacks on a third party. While suspected,
no similar precursor files have been recovered that predate the Stuxnet
attacks.
The arrival of Stuxnet signaled that
cyberattacks have entered a new phase, with nation states and
professional, highly-skilled programmers helping elevate cyberwarfare to
a new, more sophisticated (and dangerous) level. Microsoft Technical
Fellow Mark Russinovich offers up a fictional account of what can happen
when terrorist groups turn to cyberwarfare in his novel Zero Day, and it's a chilling preview of what the future of warfare could look like.
While
many fingers are pointing at U.S. and Israeli intelligence service for
creating Stuxnet – and possibly Duqu -- what happens when a hostile
nation or well-organized terrorists develop the same level of
cyberwarfare capability? Questions like these are undoubtedly keeping IT
security professionals and experts at government security agencies
awake at night.
For more technical information on the Duqu worm, see Symantec’s W32.Duqu: The Precursor to the Next Stuxnet whitepaper [PDF] and a Symantec post that provides additional Duqu technical details.
What
are your thoughts on Stuxnet and Duqu worms? Let me know what you think
by adding a comment to this blog post or starting up a conversation on Twitter.
Ελπίζω να το βρείτε ενδιαφέρον.
- Read more...
- 0 comments
- 546 views
Η ομάδα που δημιούργησε τον Stuxnet επιστρέφει με τον Duqu

By Jordan_Tsafaridis, October 21, 2011
Οι δημιουργοί του Stuxnet επέστρεψαν με ένα καινούριο είδος malware, το οποίο μπορεί να είναι ο προάγγελος ενός Stuxnet-like attack.

Παρακάτω σας παραθέτω αυτούσιο στην Αγγλική γλώσσα το άρθρο του Tom Brewster, το οποίο δημοσιεύθηκε στις 19 Οκτωβρίου 2011 στις 14:42 στην ιστοσελίδα www.itpro.co.uk.

The team behind the most sophisticated piece of malware ever seen has returned with some fresh malicious software.

Stuxnet
creators have used much of the same code for their new creation, known
as Duqu, which has grabbed the attention of security researchers after
an unnamed independent team detected it.

However, Duqu is not as sophisticated as Stuxnet and is not targeting the same SCADA systems used in power plants.

The attackers are looking for information such as
design documents that could help them mount a future attack on an
industrial control facility.

Instead, Duqu has been used to acquire information in the lead-up to
another Stuxnet-esque attack in the future, researchers have suggested.

A small number of organisations have been hit, including some in the manufacturing of industrial control systems.

“The attackers are looking for information such as design documents
that could help them mount a future attack on an industrial control
facility,” a blog post from Symantec read.

“Our telemetry shows the threat was highly targeted toward a limited
number of organisations for their specific assets. However, it’s
possible that other attacks are being conducted against other
organisations in a similar manner with currently undetected variants.”

Attacks using Duqu could stretch back as far as December 2010. The
malware has been used to download a separate information stealer onto
systems. That info-stealer was able to pilfer data in a variety of ways,
including keystroke logging, before sending it off to a command and
control centre in India inside an encrypted file.

The malware was programmed to run for 36 days before removing itself from systems.

Stuxnet similarities

Security researchers across the board have been fairly certain Duqu
was created by the same team behind Stuxnet, even though there is no
direct proof.

“They had to have access to the original source code, which only the
creators of Stuxnet have. There are various decompilations available
online. Those would not do,” Mikko Hypponen, chief research officer at
F-Secure, told IT Pro.

“It's perfectly possible they [the team behind Stuxnet] did a similar
information-cathering phase in 2008 or 2009 for the original Stuxnet
and we just missed it.”

Aside from the code similarities, Duqu's driver files are signed with
certificates apparently stolen from a Taiwanese company, as were
Stuxnet’s.

Certificates were stolen from RealTek and JMicron in the case of
Stuxnet, whereas in Duqu only one was compromised - C-Media Electronics
Incorporation.

In recent cases, certificate authorities have been compromised so
hackers could issue fraudulent certificates, as was seen with the now-defunct CA DigiNotar.
However, the certificate used to sign Duqu appears to have been stolen
somehow, even though McAfee’s analysis suggested otherwise.

“Symantec has known that some of the malware files associated with
the W32.Duqu threat were signed with private keys associated with a code
signing certificate issued to a Symantec customer,” the security giant
said today.

“Symantec revoked the customer certificate in question on 14 October
2011. Our investigation into the key’s usage leads us to the conclusion
that the private key used for signing Duqu was stolen, and not
fraudulently generated for the purpose of this malware.”

McAfee said Duqu was being used in areas occupied by “Canis Aureus,”
the Golden Jackal. See below for a map outlining where these areas are:

(Source: Wikipedia)
Ελπίζω ότι θα το βρείτε εξαιρετικά ενδιαφέρον.
- Read more...
- 2 comments
- 803 views
Τα καινούρια χαρακτηριστικά των Windows 8 για το Hyper-V Based Cloud Computing (Μέρος 1ο)

By Jordan_Tsafaridis, October 18, 2011
Το Multi-Tenant Cloud
Κατά την διάρκεια του Microsoft Build conference το οποίο έλαβε χώρα από τις 13 εως τις 16 Σεπτεμβρίου 2011 στο Anaheim, η Microsoft παρουσιάσε μια πρώτη γεύση των χαρακτηριστικών του Windows Server 8, που περιλαμβάνει όπως είναι αναμενόμενο και τον Hyper-V, ο οποίος θα επιτρέπει σε επιχειρήσεις να υποστηρίζουν εγκαταστάσεις Infrastructure as a Service (IaaS) χρησιμοποιώντας public, private
και hybrid, καθώς επίσης και αρχιτεκτονικές multitenant cloud. Ένα multi-tenant cloud αποτελεί ένα cloud infrastructure το οποίο έχει την δυαντότητα να φιλοξενεί (hosting) services (workloads) για πολλαπλές επιχειρήσεις (Αγγλικός Όρος : distinct departments within a
single company in a private cloud, or distinct companies in a public
cloud) ενώ ταυτόχρονα διασφαλίζει την ασφάλεια των δεδομένων διατηρώντας σε ασφαλή απομόνωση τον φόρτο εργασίας μεταξύ των διαφόρων ενοικιαστών (
tenants
).
Επιπλέον, μια υποδομή
multi-tenant cloud είναι σε θέση δυναμικά να διαχειρίζεται και να αναδιανέμει
tenant workloads
σε οποιοδήποτε διαθέσιμο host στο cloud χωρίς να γίνεται κανένας συμβιβασμός στην ασφάλεια των δεδομένων λόγω της ασφαλούς απομόνωσης του φόρτου εργασίας. Τέλος, η υποδομή
multi-tenant cloud
πρέπει να είναι σε θέση να παρέχει και να εγγυηθεί τις ευδιάκριτες
Service Level Agreements (SLAs)
που είναι βασισμένες στις οργανωτικές απαιτήσεις, και παρέχουν τον πόρο που μετρά με βάση παραμέτρους οι οποίες εγγυώνται την σωστή μέτρηση για την χρήση των πόρων σύννεφων σε κάθε οργάνωση. Προκειμένου να ενεργοποιηθούν
multi-tenant cloud
υποδομές, ο
Windows Server 8
περιλαμβάνει μια σειρά νέων τεχνικών χαρακτηριστικών γνωρισμάτων τα οποία περιλαμβάνουν
Hyper-V, storage, network,
high-availability, disaster recovery, και manageability.
.

Τεχνικά χαρακτηριστικά του Hyper-V Core στον Windows Server 8
Στον Windows Server
8, τα χαρακτηριστικά του Hyper-V εμπλουτίστηκαν και βελτιώθηκαν, έχοντας σαν αποτέλεσμα την θεαματική βελτίωση του virtual machine performance
και το κυριότερο απ'όλα παρέχει εκείνη την αναβαθμιζόμενη βάση για virtualization η οποία είναι απαραίτητη για υποδομές cloud.
Στον πίνακα 1 παρουσιάζεται μια σύγκριση μεταξύ των χαρακτηριστικών του Hyper-V key ανάμεσα στον Windows
Server 2008 R2 και τον Windows Server 8.

Hyper-V Χαρακτηριστικά

Windows Server 2008 R2

Windows Server 8

Host Memory

1 TB

2 TB

Logical Processors

64 (Max)

160 (Max)

Guest VM Memory

64 GB (Max)

512 GB (Max)

Guest Virtual Processors

4 per VM (Max)

32 per VM (Max)

Guest NUMA

N

Y

Host Failover Cluster

Y (16 nodes)

Y (63 nodes)

VM Support - Failover Cluster

1000 (Max)

4000 (Max)

Live Migration

Y (serial)

Y (concurrent)

Live Migration (no cluster or shared storage)

N

Y

Live Storage Migration

N

Y

Table 1: Hyper-V - Σύγκριση χαρακτηριστικών
Παρακάτω σας παραθέτω, αυτούσιο στην Αγγλική το κείμενο στο οποίο παρουσιάζονται αναλυτικά τα καινούρια χαρακτηριστικά, και σας παρακαλώ να με συγχωρέσετε για την μη μετάφραση στην Ελληνική γλώσσα διότι όπως θα διαπιστώσετε και εσείς λόγω των τεχνικών όρων δεν προσφερεται για μετάφραση.

Hyper-V now supports 2 TB of physical memory and a maximum of 160
logical processors. In Hyper-V, it is not only cores that are included
in the logical processor count, so are threads if a core is Simultaneous
Multi-Threading (SMT) enabled. Therefore, the following formula is
handy to calculate the number of logical processors that Hyper-V can see
on a given physical server:

# of Logical Processors = (# of Physical Processors) * (# of Cores) * (# of Threads per Core)

The increase in memory and logical processor support in Windows
Server 8 provides the basis upon which to build dense virtual machine
populations for private and public cloud infrastructures. In addition,
Hyper-V in Windows Server 8 supports enhanced virtual machine
performance by enabling the assignment of up to 512 GB of RAM and 32
virtual processors to a virtual machine. That can easily accommodate
scale up of high-performing workloads especially coupled with
intelligent resource management features like dynamic memory, and new
networking and storage management features that you will discover later
in this article.

For systems and applications that are built on top of a non-uniform
memory access (NUMA) architecture, Windows Server 8 provides guest NUMA.
Guest NUMA means that Hyper-V ensures guest virtual machine processor
and memory affinity with physical host resources.

Another upgraded feature in Windows Server 8 is the expansion of
failover clusters to 63 nodes (from 16 nodes in Windows Server 2008 R2),
effectively quadrupling the size of a cluster and the number of running
virtual machines to 4000 (from 1000 in Windows Server 2008 R2) per
cluster.

With Windows Server 8, Hyper-V also supports multiple, concurrent
live migrations of virtual machines. The number of concurrent live
migrations is bounded only by the inherent resource constraints of the
infrastructure rather than the serial limitation imposed in Hyper-V on
Windows Server 2008 R2.

And while Live Migration has been a cluster-centric feature requiring
shared storage, the story gets significantly better in Windows Server 8
with the support for live migration of a virtual machine between any
two hosts without requiring clustering, shared storage, or any shared
resources other than a network connection. You can control which Hyper-V
hosts participate in this Live Migration mode, as well as the number of
concurrent live migrations allowed by a host, and the network to use to
perform the live migration. Furthermore, there is additional
granularity in the selection of virtual machine components to migrate,
allowing you to choose all components, including the VHD files, current
configuration, snapshots, and second level paging, or only some of these
components. You also have the ability to move the virtual machine data
to a single location, or to specify individual locations for every
selected virtual machine component.

As if all this goodness wasn’t enough, Hyper-V also provides Live
Storage Migration that supports moving virtual machine storage resources
between physical storage units without service interruption.

Hyper-V Key Storage Features στον Windows Server 8
One of the
main new Hyper-V storage features is the addition of a virtual Fibre
Channel HBA adapter for virtual machines. This allows a virtual machine
to connect to a Fibre Channel SAN, and enables new scenarios like guest
clustering, use of MPIO, and other multipathing solutions for workloads
that require high-performing SAN and application availability. This
feature is available to existing Windows virtual machines like Windows
Server 2008 R2 running on Hyper-V on Windows Server 8.

Another new storage feature is the VHDX format, a new virtual hard
disk (VHD) format that is introduced in Windows Server 8. With VHDX, the
maximum size of a VHD increases to 16 TB, instead of the current 2 TB
limit with the current VHD format which forces the use of pass-through
disks to meet larger virtual disk storage requirements. The VDHX format
also provides large sector support, and allows embedding user-defined
metadata.

Along with the increase in virtual disk size is an impressive
performance boost when creating or managing large VHDX-based formats
using the Offloaded Data Transfer (ODX) features of storage systems.
Hyper-V support for ODX in Windows Server 8 allows handing off
operations like data transfers and file creations to the storage system
which can perform the actions with much higher performance while
reducing the impact of associated operations on the Hyper-V host
processor.

Hyper-V Key Network Features στον Windows Server 8
On the
networking side, one the of the key Hyper-V features in Windows Server 8
is the extensible Hyper-V switch. The Hyper-V switch is the component
that controls the configuration and creation of external, internal, and
private networks that support virtual machine connectivity to physical
networks, to other virtual machines and the Hyper-V host, or to a subset
of virtual machines, respectively. In Windows Server 2008 R2, the
Hyper-V switch functionality cannot be modified. In Windows Server 8, an
API exists that enables extension of the Hyper-V switch functionality.
Microsoft’s goal is to enable security vendors to develop new security
appliances as pluggable switch modules, enable switch vendors to create
switch extensions that unify virtual and physical switch management, and
enable network application vendors to create network monitoring
extensions for the Hyper-V switch. Taking advantage of the Hyper-V
switch extensibility, Cisco Systems has already announced support for Windows Server 8 Hyper-V with its Cisco Nexus 1000V switch.

Probably one of the most requested networking features included in
Windows Server 8 and supported by Hyper-V is NIC teaming. Up through
Windows Server 2008 R2, NIC teaming has only been available as a
third-party option. Windows Server 8 provides native NIC teaming that is
configurable at the host (parent partition) or virtual machine (guest
partition) level in either load balancing or failover mode. As a bonus,
this new NIC teaming feature even works across different vendor network
adapters.
Ελπίζω ότι τα παραπάνω θα σας φανούν ιδιαίτερα χρήσιμα.
- Read more...
- 0 comments
- 557 views
Διαχείριση του Citrix XenServer με τον Microsoft System Center VMM 2012

By Jordan_Tsafaridis, October 10, 2011
Σκοπός του συγκεκριμένου άρθρου, το οποίο θεώρησα σωστό να μην προχωρήσω σε μετάφρασή του είναι να πάρουμε μια ενδελεχή εικόνα των τεχνολογιών τις οποίες η Microsoft πρόκειται να διαθέσει σε πολύ σύντομο χρονικό διάστημα στην παγκόσμια αγορά πληροφορικής οι οποίες τολμώ να πω ότι θα προκαλέσουν επανάσταση. Και τούτο διότι πολύ απλά, η Microsoft καινοτομεί ξεφεύγοντας από τα στενά προϊοντικά της πλαίσια δίνοντας εκείνα τα εργαλεία τα οποία μας επιτρέπουν να διαχειριστούμε εγκαταστάσεις private και public cloud οι οποίες χρησιμοποιούν συνδυσμό τεχνολογιών virtualization όπως Microsoft Hyper-V, VMWare VSphere, Citrix XenServer κ.τ.λ..
Μια τέτοια περίπτωση είναι και η παρακάτω όπου με τον
System Center Virtual Machine Manager 2012 (VMM 2012) μπορούμε να διαχειριστούμε περιβάλλοντα Citrix XenServer.

In System Center Virtual Machine Manager 2008 R2
(VMM 2008 R2), Microsoft provides a single management console that
supports multiple virtualization platforms including Hyper-V and VMware
ESX/ESXi. With System Center Virtual Machine Manager 2012 (VMM 2012),
Citrix XenServer is also supported. VMM 2012 allows the use of standard
processes and procedures to perform daily management operations across
the supported virtualization platforms, including:

Host Features

Host discovery and management (clusters and pools)
Host power optimization
Host maintenance mode
Virtual Machine Features

Creation, deployment, and management of virtual machines
Creation, deployment, and management of VMM services
Placement of virtual machines based on host ratings
Load balancing
Storage of resources in VMM library
Conversion of virtual machines to Hyper-V

VMM 2012 also enables using XenServer host resources, along with
Hyper-V and VMware hosts, to create heterogeneous private clouds managed
using a single graphical user interface (GUI) and command-line
interface (CLI).

Citrix XenServer Host Requirements
In order to be managed through VMM 2012, a Citrix XenServer must meet the following requirements:

XenServer 5.6 Feature Pack 1
XenServer SCVMM Integration Suite supplemental pack
The SCVMM Integration Suite supplemental pack
is installed during the XenServer installation using a SCVMM Beta
Integration CD, or post-installation through the CLI using a SCVMM Beta
Integration ISO. VMM 2012 does not require an agent deployment to
XenServer hosts.

XenServer hosts and XenServer pools can be added and managed using
VMM 2012. However, a XenServer host must be installed before adding it
to VMM 2012. Also, XenServer pools must be created and configured in
Citrix XenCenter.

Configuring VMM 2012 to Manage Citrix XenServer
Before you can add a XenServer host to VMM 2012, you should create a Run As account to
define account credentials that VMM 2012 can use to access a XenServer
host. Although it is generally recommended that you perform this
procedure before adding the XenServer host, you can also create a Run As
account during the process to add a XenServer host.

Adding a Run As Account in VMM 2012

Launch the VMM Console and then select the Settings workspace.
In the Settings pane, select Run As Accounts (Figure 1).

Figure 1: VMM Console – Settings Workspace

In the Home bar, click Create Run As Account to launch the Create Run As Account wizard.
In the Create Run As Account wizard, on the General page, enter a name for the new Run As account, then select the Host Computer option
from the Category pull-down menu, then enter the account credentials
(host or Active Directory account depending how the XenServer host is
configured) in the username and password fields, and then select Next.
(Figure 2).

Figure 2: Create Run As Account Wizard – General Page

On the Run As Profiles page, click Next (Figure 3).

Figure 3: Create Run As Account Wizard – Run As Profiles Page

On the Summary page, click Finish (Figure 4).

Figure 4: Create Run As Account Wizard – Summary Page

In the Jobs Window, ensure that the Run As account creation is successful, and then close the window (Figure 5).

Figure 5: VMM 2012 Jobs Window – Run As Account

Adding a XenServer Host in VMM 2012
After creating a Run As account, you can add a XenServer host to VMM 2012 from within the Fabric workspace in the VMM Console.

In the VMM 2012 Console, select the Fabric workspace (Figure 6).

Figure 6: VMM 2012 Console – Fabric Workspace

In the Home bar, click Add Resources, and select Citrix XenServer Hosts and Clusters to launch the Add Resource wizard (Figure 7).

Figure 7: VMM 2012 – Add Resources

In the Add Resource wizard, on the Server Settings page, enter the name of the XenServer hosts, the Run As account to connect to the host,
the host group location, and then click Add (Figure 8).

Figure 8: VMM 2012 – Add Resource Wizard

After adding the XenServer host, click Next.
On the Summary page, click Finish (Figure 9).

Figure 9: Add Resource Wizard – Summary Page

In the Jobs window, verify that the host is successfully added (Figure 10).

Figure 10: Jobs Window – Add XenServer Host

In this example, because the XenServer host belongs to a pool, VMM 2012 created a host cluster named XSPool in the host group, and based it
on the name of the pool in XenCenter.

Configuring Networking for a XenServer Host in VMM 2012

Before using VMM 2012 to create a virtual machine on a XenServer host
that can connect to a virtual network, you must configure the network
properties on the host. Using VMM 2012, you can associate XenServer host
physical network adapters to logical networks.

In the VMM 2012 Console, select the Fabric workspace (Figure 11).

Figure 11: VMM 2012 Console – Fabric Workspace with XenServer Host

In the Hosts Pane, right-click the XenServer host, and then select Properties (Figure 12).

Figure 12: VMM 2012 Console – Server Properties Selection

In the XenServer host properties, select Hardware, and then select the Network Adapter (Figure 13).

Figure 13: VMM 2012 Console – Network Adapter Properties

Under Logical Network Connectivity, select the logical network that should be associated with the network adapter, and then click OK in the
Warning box (Figure 14).

Figure 14: VMM 2012 Console – VLAN Warning

Click OK to close the XenServer host properties page.
In the Hosts pane, right-click the XenServer host, and then select View Networking (Figure 15).

Figure 15: VMM 2012 Console – View Networking

In the Networking Diagram window, verify that the XenServer host network adapter is connected to the required virtual network (Figure
16).

Figure 16: VMM 2012 Console – View Networking

Creating and deploying a Virtual Machine to XenServer using VMM 2012

Creating and deploying a new virtual machine to a XenServer host using VMM 2012 is performed in the VMs and Services workspace.

In the VMM 2012 Console, select the VMs and Services workspace (Figure 17).

Figure 17: VMs and Services Workspace

In the Home bar, click Create Virtual Machine (Figure 18) and then select Create Virtual Machine from the menu to launch the New Virtual
Machine wizard.

Figure 18: VMM 2012 - Create Virtual Machine

In the New Virtual Machine wizard, on the Select Source page, select Create The New Virtual Machine With A Blank Virtual Hard Disk, and then
click Next (Figure 19).

Figure 19: New Virtual Machine Wizard – Select Source Page

On the Virtual Machine Identity page, enter a name for the virtual machine, and then select Next (Figure 20).

Figure 20: New Virtual Machine Wizard – Virtual Machine Identity Page

On the Configure Hardware page, select the Compatibility option in the left pane, select the Xen capability profile in the right pane
(Figure 21), adjust the resource configuration as required, and then
click Next. The Xen capability profile is a pre-configured profile that
defines resource minimum and maximum values that can be configured.
Customized capability profiles are created in the Library workspace.

Figure 21: New Virtual Machine Wizard – Configure Hardware Page

On the Select Destination page, select the Place The Virtual Machine On A Host option, and then click Next (Figure 22).

Figure 22: New Virtual Machine Wizard – Select Destination Page

On the Select Host page, select the XenServer host, and then click Next (Figure 23).

Figure 23: New Virtual Machine Wizard – Select Host Page

On the Configure Settings page, select the VM storage location, network adapter, and deployment details, and then click Next (Figure
24).

Figure 24: New Virtual Machine Wizard – Configure Settings Page

On the Additional Properties page, select the desired options to automate the start and stop of the virtual machine when the XenServer
host is powered on or off, then specify the operating system that will
be installed in the virtual machine, and then click Next (Figure 25).

Figure 25: New Virtual Machine Wizard – Additional Properties Page

On the Summary page, review the selected options, and then click Create (Figure 26).

Figure 26: New Virtual Machine Wizard – Summary Page

In the Jobs window, monitor the creation of the virtual machine on the XenServer host (Figure 27).

Figure 27: VMM 2012 Jobs Window – New Virtual Machine Creation

In the VMM Console, view the status of the newly created virtual machine on the XenServer host (Figure 28).

Figure 28: VMM 2012 Console – New Virtual Machine

Additional VMM 2012 Management Features for Citrix XenServer
VMM
2012 supports the ability to manage many additional facets of XenServer
operations. The following table contains a brief overview of other
major management features, but is not all inclusive. For more
information, review the Citrix XenServer management information on the Microsoft Technet site.

Command Line Management

The VMM command shell supports XenServer hosts management

VMM Service

A VMM service – a set of virtual machines defined using a service
template that captures configuration, networking, load balancing, and
deployment settings for a single release of a service – can be deployed to XenServer hosts

Live Migration

VMM 2012 supports XenMotion between XenServer hosts in a managed pool

Maintenance Mode

VMM 2012 supports placing a managed XenServer host in and out of maintenance mode

Library

VMM 2012 support storing XenServer virtual machines, disks, and VMM templates in the VMM library

VMM Templates

VMM templates supports XenServer hosts, with these restrictions:

·         Supports generalization and customization for Windows-based virtual machines only

·         Supports manual installation of XenServer Tools

·         Supports only original disk images without modifications

Conversion

VMM 2012 supports conversion of XenServer Windows-based virtual
machines to Hyper-V virtual machines using the P2V conversion process,
without removing XenServer Tools
Table 1
Conclusion
While System Center VMM 2008 R2 provides the ability to manage
virtualization environments that include both Microsoft and VMware
virtualization components, Citrix XenServer is supported with VMM 2012.
Because of Windows PowerShell integration with VMM 2012, administrators
also have the choice to manage XenServer hosts either through the VMM
2012 console, or using the VMM command line. With VMM 2012, Microsoft
provides a solid, single pane interface that allows organizations to
deploy small scale or private clouds that support the top virtualization
platforms on the market.

Πηγή : virtualizationadmin
- Read more...
- 0 comments
- 746 views
Δωρεάν λογισμικό Exchange 2010 HAProxy Virtual Load Balancer

By Jordan_Tsafaridis, October 5, 2011
Αγαπητοί συνάδελφοι της κοινότητας είναι γεγονός ότι ένα επιπλέον κόστος σε εγκαταστάσεις του Microsoft Exchange 2010, αποτελεί συχνά η χρήση ενός hardware
load balancer, ή και αρκετές φορές επίσης η χρήση ενός virtual load balancer appliance. Είναι χαρακτηριστικό ότι οι φθηνές λύσεις ξεκινούν λίγο πάνω από τα 1000 Ευρώ και φθάνοντας σε κόστος αρκετών χιλιάδων Ευρώ. Αυτό το οποίο δεν γνωρίζουν πολλοί είναι ότι υπάρχει και αντίστοιχο open source software το οποίο μπορεί να κάνει την συγκεκριμένη εργασία εξίσου καλά, και το κυριότερο ΔΩΡΕΑΝ.

Το ευχάριστο είναι ότι η συγκεκριμένη λύση παρέχει ένα απλό στην χρήση web-based
management interface, το οποίο επιτρέπει ένα εύκολο setup σε συνδυασμό με την δυνατότητα να χρησιμοποιήσουμε αυτό το Virtual Load Balancer appliance τόσο σε περιβάλλον VMware vSphere όσο και σε περιβάλλον Hyper-V.

Η έκδοση 0.1 η οποία παρουσιάζεται στα παρακάτω screenshot αποτελεί την πρώτη έκδοση, και συνεπώς όπως αντιλαμβάνεστε δεν θα συνιστούσα να την χρησιμοποιήσετε σε ένα παραγωγικό περιβάλλον. Αυτό το οποίο μπορώ να σας διαβεβαιώσω ότι ύστερα από επικοινωνία την οποία είχα με τον επικεφαλής της ομάδας ανάπτυξης του συγκεκριμένου λογισμικού Load Balancer,
σε ένα χρονικό διάστημα δύο - τριών μηνών το λογισμικό θα είναι rock-solid σε συνδυασμό με την προσθήκη ορισμένω επιπλέον απαραίτητων χαρακτηριστικών τα οποία αυτή την στιγμή βρίσκονται ήδη στην διαδικασία του debugging για περισσότερο από ένα μήνα. Τα Screenshots είναι τα ακόλουθα :

Μπορείται να διαβάσετε περισσότερα αλλά και να κατεβάσετε το λογισμικό κάνοντας κλικ εδώ.
Ολοκληρώνοντας πιστεύω ότι θα πρέπει να λάβετε υπόψην σας και τον παρακάτω σύνδεσμο.

http://www.stevieg.org/2010/11/exchange-team-no-longer-recommend-windows-nlb-for-client-access-server-load-balancing/

Ελπίζω ότι το συγκεκριμένο άρθρο θα το βρείτε εξαιρετικά χρήσιμο.
- Read more...
- 1 comment
- 759 views
Προστατεύοντας τις Exchange databases χρησιμοποιώντας τον DPM 2010

By Jordan_Tsafaridis, October 2, 2011
Αγαπητοί συνάδελφοι της κοινότητας η λογική του συγκεκριμένου άρθρου είναι να καταδείξει την μέθοδο βήμα προς βήμα την οποία θα πρέπει να ακολουθήσουμε έτσι ώστε να προστατεύσουμε με την χρήση αντιγράφων ασφαλείας τις Exchange databases χρησιμοποιώντας τον DPM 2010.

A guide for Recovering the databases and contents will be provided.

Προαπαιτούμενα

Έχουμε πραγματοποιήσει επιτυχώς την εγκατάσταση του Microsoft Data Protection Manager 2010.

Ξεκινώντας ελέγχουμε εάν υπάρχει διαθέσιμος χώρος δίσκου με βάση τον όγκο των δεδομένων τα οποία θέλουμε να προστατεύσουμε. Επιπροσθέτως η χωρητικότητα του/των δίσκων οι οποίοι πρόκειται να χρησιμοποιηθούν για την συγκεκριμένη εργασία θα πρέπει να είναι unallocated όπως ακτιβώς παρουσιάζεται στην παρακάτω εικόνα.

Εκκινούμε (Start up) την “DPM 2010 Administrator Console” και εν συνεχεία πηγαίνουμε στο “Management”, όπου σε πρώτη φάση κάνουμε κλικ στο “Rescan” έτσι ώστε όλοι οι δίσκοι να γίνουν refreshed και αμέσως μετά κάνουμε κλικ στο “Add” button.

Αυτόματα ο Disk 1 εμφανίζεται, τον επιλέγουμε και κάνουμε κλικ στο “Add” button και αμέσως μετά κάνουμε κλικ στο “OK”.

Το αποτέλεσμα της προσθήκης του δίσκου εμφανίζεται στην παρακάτω εικόνα όπου ο δίσκος εμφανίζεται κάτω από το Disks tab.

Κάτω από το “Management”, κάνουμε κλικ στο tab “Agents”. Εν συνεχεία κάνουμε κλικ στο “Install…” button.

Επιλέγουμε το “Install agents” και αμέσως μετά κάνουμε κλικ στο Next.

Επιλέγουμε τον Exchange server και κάνουμε κλικ στο “Add”.

Η επιλογή έχει ολοκληρωθεί, και εν συνεχεία κάνουμε κλικ στο Next.

Εισάγουμε τα credentials, όπου απαιτείται να είναι ένας λογαριασμός με δικαιώματα administrator στον συγκεκριμένο server. Αμέσως μετά κάνουμε κλικ στο Νext.

Λόγω του ότι θα πρέπει να έχουμε εμείς τον έλεγχο του server επιλέγουμε να κάνουμε το restart εμείς χειροκίνητα. Εν συνεχεία κάνουμε κλικ στο Next.

Εγκατάσταση του Agent και το αντίστοιχο installation process information εμφανίζονται και κάνουμε κλικ στο Close.

Ο server θα πρέπει να εμφανιστεί κάτω από το Agents tab στην Console.

Επιλέγουμε το “Protection” από τα menu, και κάνουμε κλικ στο “Create Protection group…”

Το Information window εμφανίζεται. Αμέσως κάνουμε κλικ στο Next.

Στην συγκεκριμένη περίπτωση αυτό που θέλουμε να προστατεύσουμε είναι ένας Server, επιλέγουμε το Servers και κάνουμε κλικ στο Next.

Ανοίγουμε/Ξετυλίγουμε τον Server και επιλέγουμε το “Exchange 2010 Databases”, όπου όλες οι databases είναι επιλεγμένες. Κάνουμε κλικ στο Next.

Δίνουμε στο Protection group ένα χαρακτηριστικό όνομα, το οποίο στην συγκεκριμένη περίπτωση είναι το “Exchange Protection Group”. Κάνουμε κλικ στο Next.

Στο σημείο αυτό θέλουμε να χρησιμοποιήσουμε το χαρακτηριστικό του DPM το οποίο ελέγχει την ορθότητα των δεδομένων χρησιμοποιώντας το eseutil, και αμέσως μετά κάνουμε κλικ στο Next.

Το Ese.dll και το Eseutil.exe πρέπει να αντιγραφούν από τον Exchange server και να τοποθετηθούν μέσα στο DPM installation path, και συγκεκριμένα στον φάκελο Bin.

Κάνουμε κλικ στο Next. (Μιας και το περιβάλλον μας περιλαμβάνει έναν και μόνον server)

Επιθυμία μας είναι να αποθηκεύουμε τα backups για 7 ημέρες καθώς επίσης το backup να τρέχει κάθε 15 λεπτά της ώρας, και τέλος το Full Backup κάθε μέρα στις 20:00 η ώρα. Αμέσως μετά κάνουμε κλικ στο Next.

Κάνουμε κλικ στο Next.

Θέλουμε στο σημείο αυτό να δημιουργήσουμε την δική μας replica άμεσα. Εάν όμως πρόκειται για ένα production environment τότε η συμβουλή μου είναι η διαδικασία αυτή να γίνει όταν ο φόρτος δικτυακός/επεξεργαστικός βρίσκεται σε ένα μέσο επίπεδο.

Κάνουμε κλικ στο Next.

Στο σημείο αυτό θα πρέπει να τρέξουμε ένα consistency check στις replicas.
Κάνουμε κλικ στο Next.

Αμέσως μετά εμφανίζεται το summary. Κάνουμε κλικ στο Create Group.

Η δημιουργία των Replicas έχει ξεκινήσει. Κάνουμε κλικ στο Close όταν η διαδικασία αυτή έχει ολοκληρωθεί.

Απαιτείται κάποιος χρόνος εως ότου η διαδικασία δημιουργίας των replicas ολοκληρωθεί, και είναι κάτι το οποίο εξαρτάται από το μέγεθος των exchange databases.

Μετά από λίγα λεπτά οι databases θα πρέπει να εμφανιστούν με status ότι είναι προστατευμένες, με άλλα λόγια το status είναι OK.

Στο σημείο αυτό θα ήθελα να συστήσω την εξερεύνηση του Reporting part έαν θέλουμε να έχουμε κάποιας μορφής reports σχετικά με τα backups.

Ο Exchange server είναι τώρα προστατευμένος χρησιμοποιώντας τον Microsoft Data Protection Manager 2010.
Ελπίζω ότι το συγκεκριμένο άρθρο θα σας φανεί ιδιαίτερα χρήσιμο.
- Read more...
- 0 comments
- 554 views
Exchange 2010 Μήνυμα λάθους : Object is read only because it was created by a future version of Exchange: 0.10 (14.0.100.0). Current supported version is 0.1 (8.0.535.0).

By Jordan_Tsafaridis, September 29, 2011
Θέμα : Διαγράφοντας μια Exchange PF database, η διαδικασία αποτυγχάνει εμφανίζοντας το παρακάτω μήνυμα λάθους σε έναν Exchange 2007 Server.

Η public folder database 'SG02PF1' δεν μπορεί να διαγραφεί. ( SG02PF1 Failed ) Error: Object
is read only because it was created by a future version of Exchange:
0.10 (14.0.100.0). Current supported version is 0.1 (8.0.535.0). Λύση :
Κάνουμε Logon στον Exchange 2010 Server και εν συνεχεία χρησιμοποιούμε την ακόλουθη εντολή PowerShell :
Server Name: WINCMS Storage Group Name SG02 Database Name: SG02PF1 Remove-PublicFolderDatabase -Identity "WINCMS\SG02\SG02PF1"
Ελπίζω ότι θα σας φανεί ιδιαίτερα χρήσιμο.
- Read more...
- 0 comments
- 710 views
H Microsoft εξάρθρωσε δίκτυο που έστελνε 4 εκατ. spam email καθημερινά

By Jordan_Tsafaridis, September 29, 2011
Η Microsoft ανακοίνωσε την
εξάρθρωση του δικτύου Kelihos, ενός botnet που εκτιμάται ότι αποστέλλει
καθημερινά 4 εκατομμύρια spam email. Η εταιρεία έχει ήδη καταθέσει τις
σχετικές μηνύσεις και το λόγο έχει τώρα η αμερικανική δικαιοσύνη.

Οι
κατηγορούμενοι είχαν δημιουργήσει περίπου 3.700 subdomains μέσω της
υπηρεσίας cz.cc, πολλά από τα οποία χρησιμοποιούνταν για παράνομες
δραστηριότητες. Εκτιμάται ότι περίπου 41.000 υπολογιστές σε όλο τον
κόσμο είχαν μολυνθεί και συμμετείχαν στις δραστηριότητες του botnet.

Σύμφωνα
με τη Microsoft, το Kelihos botnet έχει χρησιμοποιηθεί για την υποκλοπή
προσωπικών δεδομένων και άλλες παράνομες δραστηριότητες, πέρα από την
αποστολή spam email.

Το Kelihos είναι επίσης γνωστό με το όνομα
Waledac 2.0. Να σημειωθεί ότι η πρώτη έκδοση του Waledac έχει επίσης
εξαρθρωθεί από τη Microsoft, η οποία πιστώνεται επίσης και τη διάλυση
του διαβόητου Rustock botnet.

Πηγή : www.defencenet.gr
- Read more...
- 1 comment
- 694 views
Windows 8 Server – Εφαρμογή του Remote DCPROMO και Deployment

By Jordan_Tsafaridis, September 25, 2011
Στα Windows 8, η Microsoft
παρουσίασε - εισήγαγε πάρα πολλά νέα χαρακτηριστικά. Στο συγκεκριμένο άρθρο θα εστιαστούμε στην δυνατότητα remote deployment των Windows Server 8. Το administration
και η διαχείρηση (management) τόσο τοπικών όσο και απομακρυσμένων (local/remote) servers πραγματοποιείται από την Server Manager console. Στον Server Manager, θα παρατηρήσετε τα τμήματα Local Server και All Servers αντίστοιχα. Συνεπώς μπορούμε να προσθέσουμε remote servers στο All Serves group.
Επιλέγουμε Server Manager–> All Servers –> Add Servers

Όπως θα παρατηρήσετε στο παρακάτω screenshot, μπορούμε να επιλέξουμε remote servers χρησιμοποιώντας το Active Directory, DNS ή μπορούμε να τους εισαγάγουμε (import).

Αμέσως μόλις ολοκληρωθεί η διαδικασία αυτή, θα δείτε όλους αυτούς τους νέους servers στο All Servers group. Εδώ μπορούμε να κάνουμε Add Roles, Features, να αλλάξουμε το configuration ή να εφαρμόσουμε οποιοδήποτε άλλο administration task μέσα από αυτήν την κονσόλα.

Στην συγκεκριμένη περίπτωση πρόκειται να εγκαταστήσουμε τον Active Directory Domain Services Role κάνοντας την διαδικασία του remote DCPROMO στον remote server – SAN-WIN08-02.

Η διαδικασία είναι απολύτως η ίδια με αυτήν της εγκατάστασης του ρόλου σε μια τοπική μηχανή.

Το επόμενο βήμα είναι η ρύθμιση του server ως Domain Controller. Από το Server Manger Dashboard, βλέπουμε όλα τις απαραίτητες λεπτομέρειες της συγκεκριμένης ρύθμισης (configuration details) στο τμήμα Roles and Sever Group.

Από αυτό το παράθυρο Notification, μπορούμε να εκκινήσουμε την διαδικασία DCPROMO – Post-deployment Configuration.

Σε αυτό το άρθρο προσθέτουμε έναν επιπλέον Domain Controller σε ένα ήδη υπάρχων domain. Όπως μπορείτε να δείτε στο παρακάτω screenshot, υπ'αρχουν τρεις διαθέσιμες επιλογές:
Προσθήκη ενός domain controller σε ένα υπάρχων domain Προσθήκη ενός νέου domain σε ένα ήδη υπάρχων forest Προσθήκη ενός νέου forest
Επιπροσθέτως, θα παρατηρήσετε ορισμένες επιπλέον επιλογές όπως η επιλογή του Site Name, GC κ.τ.λ. στο configuration wizard.

Στο σημείο αυτό μπορούμε να ρυθμίσουμε/ενεργοποιήσουμε το DNS delegation και να αλλάξουμε τα credentials εάν αυτό χρειάζεται.

Στο επόμενο παράθυρο, μπορούμε να ρυθμίσουμε τις τοποθεσίες όπου αποθηκεύονται τα database, log και το SYSVOL αντίστοιχα. Επίσης, μπορούμε να επιλέξουμε έναν domain controller για replication (Replicate From).

Υπάρχουν ακόμη επιπλέον επιλογές οι οποίες σκοπό έχουν να κάνουμε παραμετροποίηση (customize) του application partition
replication προσθέτοντας ή αφαιρώντας αυτά τα partitions, επιλέγοντας μόνον critical data κ.τ.λ..

Εν συνεχεία κάνουμε επισκόπηση αυτών των επιλογών εγκατάστασης (installation options) και κάνουμε κλικ στο Next για να ξεκινήσει η διαδικασία του domain controller promotion. Ο συγκεκριμένος server (SAN-WIN08-02) θα αποτελέσει έναν ένα additional domain controller στο Santhosh.Lab2 domain.

Τα settings αυτά μπορούν να εξαχθούν σε ένα Windows PowerShell script για να αυτοματοποιήσουμε την συγκεκριμένη διαδικασία.

Η διαδικασία DCPROMO θα εφαρμόσει πρωτίστως ένα Prerequisite Check και εν συνεχεία θα ολοκληρώσει την εγκατάσταση. Θα λάβετε το summary report στο παράθυρο Installation Result.

Ελπίζω ότι θα σας φανεί χρήσιμο.
Σημείωση : To lab αυτό το έλαβα από τον MVP Santhosh Sivarajan.
- Read more...
- 0 comments
- 492 views
Windows 8 Server – Προσθήκη και Αφαίρεση ρόλων

By Jordan_Tsafaridis, September 25, 2011
Αγαπητοί συνάδελφοι της κοινότητας όπως όλοι σας πιθανόν να γνωρίζετε το Metro UI
και το Metro style applications είναι χαρακτηριστικά τα οποία για πρώτη φορά θα εμφανιστούν σε λειτουργικό σύστημα και αυτό δεν είναι άλλο από τον Windows 8 Server και το Workstation OS αντίστοιχα. Συνεπώς όπως αντιλαμβάνεστε το management interface είναι εντελώς διαφορετικό στο Windows 8, γεγονός το οποίο ευχάριστα θα έλεγα ότι μας εισαγάγει σε μια πραγματικά νέα εποχή.
Στο συγκεκριμένο άρθρο σκοπός μου είναι να παρουσιάσω την διαδικασία με την οποία γίνεται η προσθήκη και αφαίρεση ενός a server role στον Windows 8 server.
Στην συγκεκριμένη περίπτωση θα χρησιμοποιήσουμε τον Server Manger με σκοπό να υλοποιήσουμε την διαδικασία του Add ή Remove roles. Στα Windows 8, μπορούμε να ανοίξουμε τον Server Manager κατευθείαν από το UI (User Interface).Από

Από το Server Manager Dashboard, επιλέγουμεt Manage και εν συνεχεία επιλέγουμε το Add Role and Features ή το Remove Roles and Features. Στην συγκεκριμένη περίπτωση θα αφαιρέσω τον DNS role από αυτόν τον server.

Αμέσως μετά κάνουμε κλικ στο Next στο παράθυρο Remove Roles and Features Wizard.

Επιλέγουμε το server name βασιζόμενοι στο Server Pool και στο Configuration. Εν συνεχεία κάνουμε κλικ στο Next.

Καθαρίζουμε το checkbox δίπλα στον ρόλο (Role) – Πρόκειται να αφαιρέσουμε τον DNS role από αυτόν τον server.

Κάνουμε κλικ στο Next ή επιλέγουμε ένα χαρακτηριστικό (Feature) για να το αφαιρέσουμε.

Κάνουμε κλικ στο Next στο παράθυρο επιβεβαίωσης (Confirmation Window).

Αμέσως μετά θα παρατηρήσουμε την εξέλιξη της διαδικασίας όπως αυτή φαίνεται στο παρακάτω screenshot.

Μας παρέχεται η δυνατότητα να κλείσουμε αυτά τα παράθυρα χωρίς να διακοπεί η συγκεκριμένη επεξεργασία. Επίσης μπορούμε να ανοιξουμε την συγκεκριμένη σελίδα όπτε θέλουμε έτσι ώστε να παρακολουθήσουμε την εξέλιξη της συγκεκριμένης επεξεργασίας.
Ενδεχομένως να χρειαστεί να επανεκιννήσουμε (restart) τον server, κάτι το οποίο εξαρτάται από τον role. Τα Shutdown και Restart button βρίσκονται σε διαφορετική τοποθεσία στα Windows 8. Θα βρείτε τα Shutdown και Restart options στην κάτω δεξιά πλευρά του παραθύρου.

Θα σας ζητηθεί να επιλέξετε ένα λόγο για την διαδικασία του restart ή του shutdown - Shutdown Event Tracker

Ολοκληρώνοντας θα ήθελα να σας ενημερώσω ότι τρέχω τον Windows 8 Server σε ένα υπολογιστή με εγκατεστημένο το Hyper-V. Υπάρχουν αναφορές στο διαδίκτυο ότι ορισμένοι συνάδελφοι της κοινότητας αντιμετώπισαν δυσκολίες στην εγκατάσταση των Windows 8 σε περιβάλλον Hyper-V. Με λίγη προσπάθεια μπορούμε τελικώς να τα εγκαταστήσουμε σε περιβάλλον Hyper-V. Ελπίζω το συγκεκριμένο άρθρο να σας φανεί χρήσιμο.
- Read more...
- 0 comments
- 568 views
Οι χάκερς κοστίζουν ακριβά

By Jordan_Tsafaridis, September 12, 2011
Η εγκληματικότητα στον κυβερνοχώρο στοίχισε περίπου 114 δισεκατομμύρια δολάρια, και έπληξε 431 εκατομμύρια ανθρώπους σε όλον τον κόσμο το 2010, σύμφωνα με μελέτη που δημοσιεύθηκε από μια εταιρία που κατασκευάζει λογισμικό προστασίας από ιούς των υπολογιστών.

Σύμφωνα με την έκθεση της εταιρείας Symantec, 74 εκατομμύρια Αμερικανοί έπεσαν πέρυσι θύματα του εγκλήματος στον κυβερνοχώρο, το οποίο τους προκάλεσε συνολικά 32 δισ. δολάρια άμεσες οικονομικές ζημιές.

Στην Κίνα, το κόστος εκτιμάται ότι ανήλθε σε 25 δισεκατομμύρια δολάρια, στη Βραζιλία σε 15 δισ., και στην Ινδία σε 4 δισ. δολάρια.

Σύμφωνα με την έρευνα, το 69% των ερωτηθέντων ενηλίκων χρηστών του
Διαδικτύου έχουν πέσει στη ζωή τους θύματα εγκλήματος στον κυβερνοχώρο,
ένα ποσοστό που αυξάνεται έως και σε 85% στην Κίνα και σε 84% στη Νότια
Αφρική.

Η μελέτη υπογραμμίζει επίσης την αυξανόμενη ανάπτυξη των εγκλημάτων του
είδους στα κινητά τηλέφωνα. "Η εγκληματικότητα στον κυβερνοχώρο είναι
πολύ πιο ανεπτυγμένη από όσο φαντάζονται οι άνθρωποι", δήλωσε ο Άνταμ Πάλμερ, σύμβουλος Διαδικτυακής ασφάλειας στην εταιρεία.

"Κατά τους τελευταίους δώδεκα μήνες, ο αριθμός των ενηλίκων που
ερωτήθηκαν για τη μελέτη για τα θύματα εγκληματικών πράξεων στον
κυβερνοχώρο, είναι τρεις φορές μεγαλύτερος από αυτόν των θυμάτων
εγκληματικών πράξεων στην πραγματική ζωή", τόνισε.

"Και όμως, λιγότεροι από το ένα τρίτο των ερωτηθέντων πιστεύουν ότι
είναι πιο πιθανό να πέσουν θύματα ενός εγκλήματος στον κυβερνοχώρο, από
ό,τι ενός εγκλήματος στη φυσική ζωή", πρόσθεσε ο Πάλμερ.

Η μελέτη, που έγινε σε δείγμα 20.000 ανθρώπων σε 24 χώρες, διεξήχθη τον Φεβρουάριο και το Μάρτιο του 2011 και καλύπτει τους προηγούμενους δώδεκα μήνες.

Πηγή : www.nooz.gr
- Read more...
- 0 comments
- 473 views
Οι χάκερς θα "χτυπήσουν" και αυτοκίνητα

By Jordan_Tsafaridis, September 12, 2011
Η επικράτεια των χάκερς διευρύνεται με ανησυχητικό τρόπο, ξεφεύγοντας
για τα καλά από το πεδίο των ηλεκτρονικών υπολογιστών και των κινητών
τηλεφώνων, καθώς η εξειδικευμένη εταιρία κυβερνο-ασφάλειας και
λογισμικού κατά των ιών McAfee, σε νέα έκθεσή της, προειδοποιεί ότι στο
μέλλον είναι δυνατό να τεθεί σε κίνδυνο η ίδια η ζωή των οδηγών
αυτοκινήτων.

Καθώς τα οχήματα αποκτούν όλο και περισσότερους κομπιούτερ και άλλα
ηλεκτρονικά συστήματα και, παράλληλα, διασυνδέονται ασύρματα στο
διαδίκτυο, κακόβουλοι χάκερ θα μπορούσαν να πάρουν εξ αποστάσεως τον
έλεγχο του αυτοκινήτου, ακόμα και να σβήσουν τον κινητήρα, ενώ ο οδηγός
κινείται στο δρόμο.

Η εταιρία προειδοποιεί ότι υπάρχει πια τόσο πολύ ενσωματωμένο λογισμικό
σε ένα αυτοκίνητο, από τους αερόσακους και τα ραδιόφωνα έως τα καθίσματα
και τα συστήματα ελέγχου πλοήγησης, που οι χάκερ θα μπορούσαν να
προκαλέσουν πολλαπλά και, εν δυνάμει, επικίνδυνα προβλήματα.

Νωρίτερα φέτος, ερευνητές έδειξαν στην πράξη -όχι θεωρητικά- και μάλιστα
με διάφορα μοντέλα αυτοκινήτων ότι είναι δυνατό ένας χάκερ από απόσταση
να ανοίξει τις πόρτες του οχήματος ή να ξεκινήσει την μηχανή,
χρησιμοποιώντας απλά γραπτά μηνύματα.

Οι δυνητικές κυβερνο-επιθέσεις κατά αυτοκινήτων περιλαμβάνουν, σύμφωνα
με τη βρετανική «Ντέιλι Μέιλ», την εξ αποστάσεως απενεργοποίηση του
οχήματος, το κλείδωμα και ξεκλείδωμα του κινητήρα μέσω κινητού
τηλεφώνου, τον εντοπισμό της ακριβούς γεωγραφικής θέσης του αυτοκινήτου,
την κλοπή προσωπικών δεδομένων μέσω συστήματος Bluetooth, την
παρεμπόδιση της πλοήγησης μέσω δορυφορικών συστημάτων κ.α.

«Όσο ολοένα περισσότερες λειτουργίες ενσωματώνονται στην ψηφιακή
τεχνολογία των αυτοκινήτων, η απειλή μιας επίθεσης και κακόβουλης
χειραγώγησης αυξάνει», αναφέρει η έκθεση.

Η McAfee επισημαίνει ότι η τάση των καταναλωτών-οδηγών είναι να
επιθυμούν όλο και περισσότερες διασύνδεσης του οχήματός τους, ώστε να
αποτελεί προέκταση του υπολογιστή και του «έξυπνου» τηλεφώνου τους, όμως
προειδοποιεί τις αυτοκινητοβιομηχανίες ότι δεν πρέπει καθόλου να
υποτιμήσουν τους κινδύνους από τυχόν κακόβουλο λογισμικό.

Πηγή: ΑΠΕ- ΜΠΕ, Π. Δρακόπουλος
- Read more...
- 0 comments
- 493 views
Forefront TMG 2010 Network Inspection System Σε Συνδυασμό Με Custom Protocols

By Jordan_Tsafaridis, September 7, 2011
Ένα intrusion detection and prevention system
(IDS/IPS) αποτελεί ένα από τα πλέον σημαντικά και αναπόσπαστα συστατικά ενός σύγχρονου και ασφαλούς web gateway. Το
Network Inspection System (NIS) στον Forefront Threat Management Gateway
(TMG) 2010 αποτελεί μια μοναδική από τεχνολογική άποψη εφαρμογή του IDS/IPS. Το σύστημα NIS εστιάζεται ιδαιτέρως στην αναγνώριση, πρόληψη και αντιμετώπιση των επιθεσεων στα λειτουργικά συστήματα της Microsoft και στις αντίστοιχες εφαρμογές. Το NIS χρησιμοποιεί signatures τα οποία έχουν αναπτυχθεί από το Microsoft Malware Protection Center (MMPC) και τα οποία διανέμονται διαμέσου του Windows Update γνωστό και με την ονομασία WSUS.

Το NIS στον Forefront TMG 2010 παρέχει προστασία εφαρμόζοντας low-level
network protocol inspection. Κάθε πακέτο υπόκειται σε ανάλυση επιπέδου protocol
state, message structure, καθώς και message content. Αντιστοίχως όταν λαμβάνεται ένα πακέτο, το σύστημα NIS θα το ελένξει μόνον όταν αυτό επιτρέπετε από το firewall policy, και επίσης μόνον αφότου οποιαδήποτε συσχετιζόμενα web ή application filters το έχουν επεξεργαστεί.

Υπάρχει ένα μειονέκτημα, ωστόσο. ΄Οταν υπάρχει ένα custom protocol αυτό δεν υπόκειται σε NIS inspection από τον Forefront TMG firewall εκτός και αν αυτό συσχετίζεται με ένα standard protocol. Αποτελεί συχνό φαινόμενο όπου ένας Forefront TMG firewall administrator θα δημιουργήσει ένα custom protocol για ένα standard protocol το οποίο χρησιμοποιεί μία non-standard port.
Ένα από τα πλέον κοινότυπα πρωτόκολα το οποίο παραμετροποιείται να χρησιμοποιεί non-standard
ports είναι το HTTP protocol. Για παράδειγμα, εάν ένας administrator καθορίσει ένα custom protocol για να υποστηρίξει μια εφαρμογή web-based η οποία με την σειρά της χρησιμοποιεί την non-standard TCP port 62112, τότε το NIS δεν θα ελένξει αυτό το traffic παρότι η επικοινωνία είναι HTTP, το οποίο αποτελεί ένα πρωτόκολο το οποίο το NIS υπό κανινικές συνθήκες το επεξεργάζεται και το ελέγχει όταν αυτό λαμβάνει χώρα πάνω από το standard TCP port 80.

Για να εφαρμόσουμε το Forefront TMG NIS inspection σε ένα custom protocol θα πρέπει πρώτα να συσχετιστεί με ένα standard protocol. Στο παράδειγμά μας χρησιμοποιούμε το πρωτόκολο
HTTP πάνω από ένα non-standard port, και συνεπώς θα πρέπει να συσχετίσουμε το δικό μας custom
protocol με το Web Proxy Filter.

Ενσυνεχεία συσχετίζουμε το custom protocol με ένα standard protocol definition, το οποίο στην προκειμένη περίπτωση είναι το HTTP Proxy.

Αφότου ολοκληρώσουμε την παραπάνω διαδικασία, το Forefront TMG NIS inspection θα εφαρμοστεί στο custom protocol και η αντίστοιχη πολιτική θα πολιτική θα επιβληθεί, σύμφωνα με την τρέχουσα διαμόρφωση NIS.
Ελπίζω ότι θα βρείτε το παραπάνω χρήσιμο.
- Read more...
- 0 comments
- 446 views
M86 Security Labs Report 1H2011 Ιανουάριος - Ιούνιος 2011

By Jordan_Tsafaridis, July 25, 2011
Αγαπητοί συνάδελφοι της κοινότητας παρακάτω σας παραθέτω τον σύνδεσμο για να κατεβάσετε το εξαμηνιαίο vulnerabilities report. O σύνδεσμος είναι ο παρακάτω :

http://www.m86security.com/documents/pdfs/security_labs/m86_security_labs_report_1h2011.pdf

Επιπροσθέτως σας παρακαλώ να μελετήσετε και τα παρακάτω στοιχεία :

Malware Statistics

World Malware Map - May 2011

Where is most malicious code being hosted in the world?

Top 5 Most Observed Vulnerabilities - May 2011
Anonymized feedback from M86 filtering installations showed most observed threats were based on the following vulnerabilities:
Vulnerability Disclosed Patched Microsoft Internet Explorer RDS ActiveX 2006 2006 Office Web Components Active Script Execution 2002 2002 Adobe Reader util.printf() JavaScript Function Stack Overflow Exploit 2008 2009 Adobe Acrobat and Adobe Reader CollectEmailInfo JavaScript method buffer overflow vulnerability 2008 2008 Internet Explorer Table Style Invalid Attributes 2010 2010
Ελπίζω ότι θα σας φανούν χρήσιμα.
- Read more...
- 0 comments
- 518 views
Vulnerability in the Forefront TMG 2010 Client Could Allow Remote Code Execution

By Jordan_Tsafaridis, July 25, 2011
Αγαπητοί συνάδελφοι της κοινότητας είναι χαρακτηριστικό ότι είναι εξαιρετικά σπάνια η περίπτωση κατά την οποία θα δείτε ένα security update για οτιδήποτε σχετίζεται με τον Forefront TMG firewall. Εντούτοις, στο June 2011 security bulletin περιλαμβάνεται το update MS11-040 το οποίο επιλύει ένα privately reported vulnerability στον Forefront TMG client το οποίο ενδεχομένως μπορεί να επιτρέψει ένα remote code execution. Σας εφιστώ την προσοχή σας διότι αυτό το security εφαρμόζεται μόνον στον Forefront TMG client, και όχι στο firewall. Επιπροσθέτως, σας ενημερώνω ότι δεν εφαρμόζεται στις προηγούμενες εκδόσεις του ISA firewall client.

Πριν από την εφαρμογή του MS11-040 update, η τελευταία/πρόσφατη έκδοση του Forefront TMG client ήταν το build 7.0.7734.100. Μετά την εφαρμογή του MS11-040 update, το νέο build number θα είναι το 7.0.7734.182.

Ελπίζω ότι το παραπάνω θα σας φανεί ιδιαιτέρως χρήσιμο.
- Read more...
- 0 comments
- 545 views
IBM » AIX : Security Vulnerabilities - Μάϊος 2011

By Jordan_Tsafaridis, May 23, 2011
Αγαπητοί συνάδελφοι της κοινότητας, είναι γνωστό ότι πάρα πολύ από εμάς εργάζονται σε μικτά περιβάλλοντα. Αυτό σημαίνει ότι πρέπει να συντηρούμε υπολογιστικά συστήματα βασισμένα σε περιβάλλον Microsoft Windows, σε συνδυασμό με Linux, HP/UX, IBM AIX. Το συγκεκριμένο άρθρο σχετίζεται με την διαδραστικότητα μεταξύ Microsoft Windows Active Directory και IBM AIX, όπου το IBM AIX παρουσιάζει ένα σημαντικό κενό ασφάλειας.

Για αποφυγή παρεξηγήσεων παραθέτω αυτούσιο το άρθρο στην Αγγλική γλώσσα καθώς και τα σχετικά links :

http://www.cvedetails.com/vulnerability-list/vendor_id-14/product_id-17/IBM-AIX.html

http://www.cvedetails.com/cve/CVE-2011-1561/

Vulnerability Details : CVE-2011-1561

The LDAP login feature in bos.rte.security 6.1.6.4 in IBM AIX 6.1, when
ldap_auth is enabled in ldap.cfg, allows remote attackers to bypass
authentication via a login attempt with an arbitrary password.

Publish Date : 2011-04-05 Last Update Date : 2011-04-05

Collapse All

Expand All

Select

Select&Copy

Scroll To

Comments

External Links

Click here if you can't see the dropdown menus or if you want to expand them now

-
CVSS Scores & Vulnerability Types

Cvss Score 6.8 Confidentiality Impact Partial
(There is considerable informational disclosure.) Integrity Impact Partial
(Modification of some system files or
information is possible, but the attacker does not have control over
what can be modified, or the scope of what the attacker can affect is
limited.) Availability Impact Partial
(There is reduced performance or interruptions in resource availability.) Access Complexity Medium
(The access conditions are somewhat specialized. Some preconditions must be satistified to exploit) Authentication Not required
(Authentication is not required to exploit the vulnerability.) Gained Access None Vulnerability Type(s) Bypass a restriction or similar CWE ID 287

-
Products Affected By CVE-2011-1561

# Product Type Vendor Product Version Update Edition Language

1 OS IBM AIX 6.1

Details Vulnerabilities

-
Number Of Affected Versions By Product

Vendor

Product

Vulnerable Versions
IBM AIX
1

-
References For CVE-2011-1561

http://aix.software.ibm.com/aix/efixes/security/ldapauth_advisory.asc CONFIRM

http://secunia.com/advisories/43968
SECUNIA 43968
http://securitytracker.com/id?1025273
SECTRACK 1025273
http://www-01.ibm.com/support/docview.wss?uid=isg1IZ97416
AIXAPAR IZ97416
http://www.vupen.com/english/advisories/2011/0836
VUPEN ADV-2011-0836

-
Metasploit Modules Related To CVE-2011-1561

There are not any metasploit modules related to this vulnerability (Please visit www.metasploit.com for more information)
- Read more...
- 0 comments
- 554 views
Exchange Server 2010/2010 SP1 & Event ID 106

By Jordan_Tsafaridis, May 18, 2011
Αγαπητοί συνάδελφοι της κοινότητας, πιθανώς να έχετε βρεθεί και εσείς στην θέση, όπου σε μια εγκατάσταση Microsoft Exchange Server 2010/2010SP1 θα παρατηρήσατε μια σειρά λαθών τα οποία εμφανίζονται στο Application log αφότου το Microsoft
Exchange RPC Client Access service έχει ξεκινήσει. Έχω παρατηρήσει ότι το συγκεκριμένο λάθος εμφανίζεται σε servers στους οποίους είναι εγκατεστημένο μόνον το Mailbox Role. Παρότι και ο CAS role έχει ένα service το οποίο επίσης ονομάζεται Microsoft Exchange RPC Client Access το συγκεκριμένο μήνυμα λάθους δεν έχει παρατηρηθεί ότι εμφανίζεται όταν υπάρχει εγκατεστημένο μόνο το CAS Role στον server χωρίς το Mailbox Role.

Όλα τα λάθη προέρχονται από το Performance counter category name MSExchange RpcClientAccess.

Αναλυτικότερα - Event ID 106, Source MSExchange Common, Level Error:

Log Name:      Application
Source:        MSExchange Common
Date:          24.1.2011 21:25:17
Event ID:      106
Task Category: General
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      ServerName.fqdn.local
Description:
Performance
counter updating error. Counter name is RPC Requests, category name is
MSExchange RpcClientAccess. Optional code: 3. Exception: The exception
thrown is : System.InvalidOperationException: The requested Performance
Counter is not a custom counter, it has to be initialized as ReadOnly.
   at System.Diagnostics.PerformanceCounter.Initialize()
   at System.Diagnostics.PerformanceCounter.set_RawValue(Int64 value)
   at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.set_RawValue(Int64 value)
Last
worker process info : System.UnauthorizedAccessException: Access to the
registry key
'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\Transport' is
denied.
   at Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str)

at Microsoft.Win32.RegistryKey.CreateSubKey(String subkey,
RegistryKeyPermissionCheck permissionCheck, RegistrySecurity
registrySecurity)
   at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.GetLastWorkerProcessInfo()

Θα πρέπει σε αυτό το σημείο να σημειώσουμε ότι σε καμία περίπτωση δεν πρέπει να ανησυχείτε για αυτό το συγκεκριμένο λάθος. Η Microsoft έχει δημισιέυσει το παρακάτω άρθρο KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010. Μάλιστα αναφέρει επακριβώς τα παρακάτω :

This problem occurs because the performance counters of the RPC
Client Access service are not installed when you install only the
Mailbox role on an Exchange Server 2010 server. However, this does not
affect the functionality of the Exchange Server 2010 server.

Οπωσδήποτε σε καμία περτωση δεν είναι ωραίο από την πλευρά ενός τεχνικού ΙΤ να παρουσιάζονται τόσα πολλά μηνύματα λαθών στον Event Viewer αμέσως μετά την επανεκκίνηση του Microsoft Exchange RPC Client Access service. Για τον λόγο αυτό παρακάτω παρουσιάζω τον τρόπο με τον οποίο εγκαθιστούμε manually τους RPC Client Access performance counters.

Εγκατάσταση - Προσθήκη των RPC Client Access performance counters

Εκκινούμε τον Exchange Management Shell και γράφουμε τις παρακάτω εντολές, όπου "C" ο οδηγός δίσκου στον οποίο είναι εγκατεστημένος ο Microsoft Exchange 2010 Server.
Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Setup New-PerfCounters -DefinitionFileName "C:\Program Files\Microsoft\Exchange
Server\V14\Setup\Perf\RpcClientAccessPerformanceCounters.xml"

Κάνουμε Restart τον server ή το Microsoft Exchange RPC Client Access service. Πλέον τα μηνύματα λάθους δεν εμφανίζονται, γεγονός το οποίο κάνει τους administrators χαρούμενους…

Links:

KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010 How to fix/repair broken Exchange 2007 counters How to unload/reload performance counters on Exchange 2010
- Read more...
- 0 comments
- 817 views
IE9 versus Chrome: which one blocks malware better? The answer is IE9

By Jordan_Tsafaridis, May 17, 2011
Αγαπητοί συνάδελφοι της κοινότητας,

Στις 26-4-2011, έλαβε χώρα ένα εξαιρετικά εμπεριστατομένο τεστ αξιοπιστίας και ασφάλειας μεταξύ Microsoft Internet Explorer 9 και Google Chrome. Σας παραθέτω παρακάτω τα αποτελέσματα αυτού του τεστ αυτούσιο στην Αγγλική γλώσσα καθώς και τα σχετικά link στο διαδίκτυο. (Ελπίζω να σας φανεί χρήσιμο)

Last week I looked at a fascinating sample of malware that specifically targeted users of Google Chrome.
Over the past few days, I’ve been looking more closely at this
particular malware attack, which appears to be widespread and extremely
persistent.

Social engineering has become the dominant method of distribution for
fake antivirus software. And most modern browsers, with one exception,
do a terrible job of dealing with this type of threat. Current builds of
Chrome display a terrible flaw that puts you at greater risk than its
competitors. In my testing, a malware author was able to exploit Chrome
in four easy clicks. In stark contrast, Internet Explorer 9 used some
new technology to flag the exact same sites and files as suspicious,
providing unmistakable warnings that have been shown to stop 95% of
these attacks in their tracks.

I’ve captured the experience for both browsers in these two videos and in an accompanying screenshot gallery
so you can see for yourself. And if you make it to page 3, you’ll read
about the new reputation-based technology that’s given IE9 the lead.

First a little background. Fake antivirus software has been around for
at least seven years, but this category of attack has exploded in
popularity among bad guys in recent months. The technique is simple
social engineering, and it works by scaring the target into thinking
their system has been infected with a virus (or a whole bunch of them)
and then offering to fix the problem—for a fee. The fake AV software
often downloads additional Trojans and can actually cause the sort of
problems it claims to be solving.

Here’s how it goes when you’re using Google Chrome 10 on Windows 7.
Notice the attention to detail that the malware authors used in this
attack. The dialog boxes and warning screens certainly look like they’re
part of Google Chrome. (I recommend clicking the full-screen button in
the lower right corner of the video clips below so you can see all the
details in each one.)

Now here’s an attack from the same set of search results, this time
gathered using Internet Explorer 9. The fake scan is a pretty decent
imitation of a Windows 7 security screen. But the result is different.

By Ed Bott | April 25, 2011, 7:23pm PDT

Malware authors target Google Chrome
Every time I write about Internet Explorer, it’s usually a matter of minutes—sometimes even seconds—until someone in the Talkback
section proclaims, smugly, that they’ve switched to Google Chrome or
Firefox and are therefore immune from malware attacks.

They’re wrong, and malware authors have begun preying on users of
alternative browsers to push dangerous software, including Trojans and
scareware. The problem is that most malware attacks aren’t triggered by
exploits that target vulnerabilities in code. Instead, according to one recent study,
“users are four times more likely to come into contact with social
engineering tactics as opposed to a site serving up an exploit.”

Follow-up: Malware attempts that use Apple-focused social
engineering are now in the wild. I just found one via Google Image
search. See for yourself: What a Mac malware attack looks like.

I found a perfect example yesterday, thanks to an alert from
Silverlight developer Kevin Dente. He had typed in a simple set of
search terms—Silverlight datagrid reorder columns—at Google.com, using the Google Chrome browser on Windows. You can follow along with what happened next in the screenshot gallery that accompanies this post.

The first page of Google search results included several perfectly
good links, but the sixth result was booby trapped. Clicking that link
in Google Chrome popped up this dialog box:

That led to a basic social engineering attack, but this one has a
twist. It was customized for Chrome. If you’ve ever seen a Google
Chrome security warning, you’ll recognize the distinctive, blood-red
background, which this malware author has duplicated very effectively.

After the fake scan is complete, another dialog box comes up, warning
that “Google Chrome recommends you to install proper software.”

That’s terrible grammar, and this social-engineering attack is likely
to fail with an English-speaking victim, who should be suspicious of
the odd wording. But a user whose primary language is something other
than English might well be fooled. And the malware author has
anticipated the possibility that you might click Cancel in the dialog
box. If you do, it still tries to download the malicious software.

Each time I visited this page, the download I was offered was
slightly different. My installed antivirus software (Microsoft Security
Essentials) didn’t flag it as dangerous. When I submitted it to VirusTotal.com,
only five of the 42 engines correctly identified it as a suspicious
file. Less than 8 hours later, a second scan at VirusTotal was a little
better. This time, eight engines confirmed that the file was suspicious.
Microsoft’s virus definitions had been updated and a scan identified
the rogue file as Win32/Defmid.

Panda and Prevx identified the file as “Suspicious” and “Medium risk
malware,” respectively. BitDefender, F-Secure, and GData flagged it as
“Gen:Trojan.Heur.FU.quX@am@e97ci.” AntiVir detected it as
“TR/Crypt.XPACK.Gen.” Kaspersky says it is
“Trojan-Downloader.Win32.FraudLoad.zdul.” Every other antivirus engine,
as of a few minutes ago, waved this suspicious executable right through.

Meanwhile, back in the browser, Google Chrome’s warnings are
completely generic. If you download the software it shows up in the
Downloads folder looking perfectly innocent.

Interestingly, this set of “poisoned” search terms also affected
Bing, although the dangerous search result was on a different site,
which didn’t show up until the fifth page of search results. And the
download that it offered was, apparently, a completely different
Trojan/scareware product. But the end result would have been the same,
regardless of which browser I was using.

This case study shows that malware authors are beginning to adapt to
changing habits of PC users. There’s nothing inherently safer about
alternative browsers—or even alternative operating systems, for that
matter—and as users adapt, so do the bad guys.

Be careful out there.
- Read more...
- 0 comments
- 539 views
Android DroidDream Uses Two Vulnerabilities

By Jordan_Tsafaridis, May 11, 2011
Αν και αρχικώς τα συγκεκριμένα Vulnerabilities είχαν εντοπιστεί στις 5 Μαρτίου 2011, εντούτοις μια προσεκτική ανάλυση από την ομάδα ασφαλείας του FortiNet Security Blog, κατέδειξε την επικυνδυνότητά τους. Παρακάτω σας παραθέτω το πρωτότυπο κείμενο στην Αγγλική γλώσσα προς μελέτη.

We are pretty busy these days with malicious samples on Android. You probably haven’t missed DroidDream (Android/DrdDream.A!tr) which trojaned several applications on the Android Market and several blog posts on the matter:

Lookout explains how the malware was discovered, which applications it targets
and whether you should be concerned or not. By the way, we thank them
for sharing samples with us.
AndroidPolice explains the malware uses the rageagainstthecage root exploit, and that
malicious applications have been pulled out of the market
Kaspersky reminds the dark sides of the Android Market and iPhone jailbreaking AegisLab explains the malware uses JNI and collects /proc information (the
sample they analyze is slightly different from the one we refer to in
this post).

But there are still a few additional questions – that I intend to cover in this blog post.

DroidDream does not use ONE vulnerability but TWO

In the sample we analyzed, those files are located in the asset directory of the package:

$ ls -al -rw-r--r-- 1 axelle users 15295 Jan 14 11:04 exploid
-rw-r--r-- 1 axelle users 3868 Jan 14 11:04 profile
-rw-r--r-- 1 axelle users 5392 Jan 14 11:04 rageagainstthecage
-rw-r--r-- 1 axelle users 14076 Feb 15 14:59 sqlite.db
drwxr-xr-x 4 axelle users 4096 Mar 2 11:04 www

exploid corresponds to this local root exploit, and it is tried in case rageagainstthecage
does not work. The idea behind rageagainstthecage create many
processes, reach the maximum limit of user processes, so that the next
time the adbd process is run it cannot surrender its root permissions.
Both files are local root privilege escalation exploits. Below, the logs
show exploid was called but failed on my android emulator:

W/System.err( 246): java.io.IOException: Error running exec(). Commands: [/data/data/com.droiddream.bowlingtime/files/exploid,
/dev/block/mtdblock1, yaffs2] Working Directory: null Environment: null
D/AudioSink( 31): bufferCount (4) is too small and increased to 12
W/MediaPlayer( 240): info/warning (1, 44)
W/System.err( 246): at java.lang.ProcessManager.exec(ProcessManager.java:196)
W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:225)
W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:313)
W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:246)
W/System.err( 246): at com.android.root.udevRoot.runExploid(udevRoot.java:134)
W/System.err( 246): at com.android.root.udevRoot.go4root(udevRoot.java:230)
W/System.err( 246): at com.android.root.Setting.onCreate(Setting.java:265)

profile is a shell – we will talk about this one later.
sqlite.db actually isn’t a SQLite database but an Android package named
com.android.providers.downloadsmanager the malware will install on the
infected device. Finally the www directory contains the real assets
(images) used by the real foreground application (e.g bowling game).

DroidDream posts the victim’s IMEI, IMSI etc – but no need to root a phone to do that

One of the first things the malware does is post the phone’s IMEI,
IMSI, Android version to a remote website whose URL is XOR encrypted.
The key is hard-coded in another class, named Setting.class. A little
bit of Java decompiling and copy/paste in a quick n’ dirty standalone
program, and we decrypt the URL:

The information is posted (HTTP POST) using the XML format:

<?xml version="1.0" encoding="UTF-8"?> <Request>
<Protocol>1.0</Protocol>
<Command>0</Command>
<ClientInfo>
<Partner>502</Partner>
<ProductId>10011</ProductId>
<IMEI>YOUR IMEI</IMEI>
<IMSI>YOUR IMSI</IMSI>
<Modle>YOUR DEVICE SDK</Modle>
</ClientInfo>
</Request>

Posting the IMEI, IMSI etc is not the real goal of the malware, since
you do not need to root the phone for that, but only the
READ_PHONE_STATE permission.

A r00t shell – that’s awesome (from a malware author’s perspective! )

It seems that what the malware author really wanted to install is the
profile binary (see above, in the assets directory). Once the phone is
rooted, the malware copies profile to /system/bin/profile and sets root
permissions to the file:

chown 0.0 /system/bin/profile chown root.root /system/bin/profile
chmod 6755 /system/bin/profile

Actually, the /system/bin/profile file also acts as an r00ted
indicator: if the file exists, the phone has been rooted, if not, the
malware tries to root the phone. So, as a quick hack, some developers
suggest to create a dummy /system/bin/profile on your phone and be
immune to the malware (more exactly the malware won’t be able to
operate).

A quick analysis of profile with a disassembler shows this executable
merely does a setgid, then a setuid, and finally executes (excv) a
shell. The malware author installed a root shell on the infected device.
But so far, this shell is not used remotely.

To me, it looks more like the work of a (dark) hacker than what
cyber-criminals usually do. Unless the next step is to download a
malware upgrade (via the downloads manager package) and monetize this
root shell…

Thanks to David Maciejak for his help on Android vulnerabilities.

– the Crypto Girl

Author bio:
Axelle Apvrille's initial field of expertise is cryptology, security
protocols and OS. She is a senior antivirus analyst and researcher for
Fortinet, where she more specifically looks into mobile malware.
Ελπίζω ότι θα το βρείτε ιδιαίτερα χρήσιμο.
- Read more...
- 0 comments
- 557 views
Check Point SSL VPN On-Demand Applications Remote Code Execution - Vulnerabilities

By Jordan_Tsafaridis, May 10, 2011
Ένα νέο πρόβλημα δημοσιεύτηκε στην ιστοσελίδα Vupen Security (http://www.vupen.com/english/advisories/2011/1162), και αφορά ένα σημαντικό κενό ασφάλειας το οποίο ανιχνεύθηκε στα προϊόντα της CheckPoint. Το αυθεντικό κείμενο παρουσιάζεται παρακάτω :

VUPEN ID

VUPEN/ADV-2011-1162

CVE ID

CVE-2011-1827

CWE ID

Available in Customer Area

CVSS V2

Available in Customer Area

Rated as

Critical

Impact

Available in Customer Area

Authentication Level

Available in Customer Area

Access Vector

Available in Customer Area

Release Date

2011-05-03

Share

Technical Description
A vulnerability has been
identified in Check Point products, which could be exploited by remote
attackers to compromise a vulnerable system. This issue is caused by an
error in the SSL Network Extender (SNX), SecureWorkSpace and Endpoint
Security On-Demand application when deployed through a browser, which
could allow attackers to execute arbitrary code by tricking a user into
visiting a specially crafted web page.

Affected Products Check Point SecurePlatform

Check Point IPSO6

Check Point Connectra

Check Point VSX

Solution
Apply patches :

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410

References

http://www.vupen.com/english/advisories/2011/1162
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410

Credits

Vulnerability reported by Johannes Greil (SEC Consult).

Changelog

2011-05-03 : Initial release
- Read more...
- 0 comments
- 577 views
Troubleshooting OWA 2007/2010 Publishing Rules on ISA Server 2006/TMG 2010

By Jordan_Tsafaridis, May 9, 2011
1. Εισαγωγή

Ορισμένες φορές η επίλυση προβλημάτων τα οποία οφείλονται σε λάθος προγραμματισμό των publishing rules μπορεί να εξελεχθεί σε μια επίπονη και απαιτητική διαδικασία. Ο κύριος λόγος είναι ότι υπάρχει μια λεπτή διαχωριστική γραμμή μεταξύ του published server
και του firewall (στην συγκεκριμένη περίπτωση του ISA/TMG Server). Συνεπώς το ερώτημα είναι σε πιο σημείο έχει διαραγεί η επικοινωνία? Μήπως ο ISA/TMG Server δεν επιτρέπει την σύνδεση από έξω (outside) ή μήπως ο published
server είναι αυτός ο οποίος δεν απαντά στα αιτήματα τα οποία αποστέλλει ο ISA/TMG Server?

Στο σημείο αυτό θα πρέπει να αναφέρω ότι σημαντική βοήθεια στο να κατανοήσουμε πως λειτουργούν τα πρωτόκολα προσφέρει η σειρά των άρθρων τουν Jim Harrison σχετικά με το RPC over HTTP καθώς επίσης συμβάλει και στην ανάπτυξη μιας μεθοδολογίας επίλυσης προβλημάτων τα οποία είναι δυνατόν να προκύψουν όταν υλοποιούμε το publishing Outlook Anywhere διαμέσου του ISA Server 2006/TMG 2010.

2. Γενικές Συστάσεις

Η κύρια σύσταση είναι η χρήση των official white paper στα οποία παρουσιάζεται μια βήμα προς βήμα configuration μέθοδος για το publishing του OWA 2007 διαμέσου του ISA Server 2006. Αντιστοίχως για τον TMG 2010 το official white paper μπορείτε να το κατεβάσετε κάνοντας κλικ εδώ.

2.1. Επιλογές Authentication

Όταν υλοποιούμε το publishing του OWA 2007/2010 διαμέσου του ISA Server 2006/TMG 2010 έχουμε δύο επιλογές για την ρύθμιση του FBA (Forms Based Authentication):



·         Επιλογή 1 (Η πιο συνήθης): Απενεργοποιούμε το Forms Base Authentication στο Exchange OWA side και ενεργοποιούμε το FBA στον ISA Server 2006/TMG 2010 Web Listener.

Εικόνα 1– Authentication properties.

Σημείωση : Όταν έχουμε επιλεγμένο το Basic Authentication στο OWA όπως αυτό παρουσιάζεται στην παραπάνω εικόνα,
θα πρέπει να διασφαλίσουμε ότι στο Authentication Delegation tab στον ISA Server 2006/TMG 2010, το
OWA Publishing rule έχει επιλεγμένο το Basic Authentication.

·         Επιλογή 2 (Σπάνια Χρησιμοποιείται): Δεν εφαρμόζουμε το authenticate στον ISA Server 2006/TMG 2010 αλλά χρησιμοποιούμε το Forms Based Authentication στον Exchange Server:

Εικόνα 2 – Η δεύτερη επιλογή για το authentication.

2.2. Θέματα τα οποία αφορούν τα Certificates

Όταν υλοποιούμε το publishing του OWA 2007/2010 μπορούμε να χρησιμοποιήσουμε το SAN Certificate στο
Exchange OWA side. Εντούτοις το FQDN name το οποίο ενφανίζεται στο To Tab στον ISA Server 2006TMG 2010 OWA Publishing rule είναι υποχρεωτικό να ταυτίζεται με το first name στο SAN Certificate όπως ακριβώς απεικονίζεται στην εικόνα παρακάτω :

Εικόνα 3 – Λεμπτομέριες του SAN Certificate.

3. Θέματα Troubleshooting - Τα πιο πιθανά σενάρια (Το κείμενο είναι στην Αγγλική γλώσσα διότι τα θέματα αυτά έχουν συλλεχθεί από διάφορα forums)

3.1.
I can access the OWA page, authenticate using Forms Base but after the
first authentication I receive another page asking for authentication
again.

Make
sure that you have forms base authentication enabled only on ISA Server
or only on the Exchange. Review the session 2.1 for more information.

3.2. After authenticate on the OWA Forms Base Authentication I receive the error: Target principal name is incorrect.

Make sure that of the following:

·         The name on the certificate that is installed on the Exchange Server matches with the name on the To tab for the OWA Publishing Rule on ISA Server. Review session 2.3 for more information.

·         The Exchange Server name (usually the CAS Server) is correct on the To tab on the OWA Publishing Rule on ISA Server.

·         ISA Server 2006 can correctly resolve this FQDN for the correct IP.

3.3. I cannot even access the OWA Page, when I type the address https://mail.contoso.com on IE I receive the error: 403 Access Forbidden.

When you create an OWA 2007 Publishing Rule only the following paths are allowed by default:

Εικόνα 4 – Default paths for OWA 2007.

When you type https://mail.contoso.com
without use /owa or the other paths that are allowed by this rule it is
expected to receive the 403 since ISA Server is restricting the paths
for security purpose.

3.4. I’m typing the address https://mail.contoso.com/owa on Internet Explorer, I can reach the FBA page, authenticate but after that I’m receiving the error: 404 Not Found.

Make sure that the ISA Server 2006 can reach the Exchange Server that it is using on the To tab. Try to validate using the following methods:

·         From
the ISA Server ping the FQDN name of the Exchange Server that is in use
on the OWA Publishing to make sure that is resolving to the correct IP.

·         Telnet
from ISA Server to the FQDN of the Exchange Server and use the port
that appears on the Bridging tab as show below and see if you receive an
answer (telnet exc2007.contoso.msft 443):

Εικόνα 5 – Bridging Tab.

·         If
all tests succeed then enable logging on ISA Server (ISA Console /
Monitoring / Logging) and create a filter where the source is the
External network. Try to reproduce the problem and check if you see the
error below:

Εικόνα 6 – Failed connection attempt to the Exchange Server (error 10060).

The error 10060 showed above means that the connection timed out. Usually this error means:

·         Connectivity issue between ISA Server and the Exchange Server that is being used by this publishing rule.

·         The ISA Server is sending the package by for some reason the Exchange Server is not replying in appropriate manner.

Review the following:

·         There
is any other firewall in between ISA Server and the Exchange Server? If
it does, can we bypass that? If we can’t bypass, make sure that the
ports are allowed in both ways. Use PortQuery to test that from the ISA to the Exchange Server.

·         A netmon trace on the internal NIC of the ISA and on the Exchange Server might show what is happening.

·         The IIS Logs on the OWA also will help to see if the traffic is hitting the OWA Server.

3.5. I’m typing the address https://mail.contoso.com/owa on Internet Explorer, I can reach the FBA page, authenticate but after that I’m receiving the error: 10061 Connection Refused.

The error code 10061 means: A connection was refused by the destination host.
This error means that ISA Server tried to contact the published server
(in this case the Exchange Server) and this server refused the request
for some reason.

This
usually happens because ISA Server tried to contact the published
server on a port that is not allowed on the destination server. Review
the Bridging tab on the OWA Publishing rule to make sure that this port matches with the port that OWA is using on the IIS web site:

Εικόνα 7 – IIS properties matching with the Bridging tab.

If you also use the ISA Server Monitoring Logging you will see the error below:

Εικόνα 8 – Failed connection attempt to the Exchange Server (error 10061).

For more information about the error code see the ISA Server 2006 Logging Fields and Values article. For TMG 2010 the link is here.

3.6.
I can authenticate on the FBA page, I can see my OWA inbox but I’m
unable to create a new message and the buttons on the toolbar doesn’t
work. Everything works fine internally (bypassing the ISA Server).

Don’t
set your mind to think that if works internally and externally doesn’t
then the issue is on the ISA Server. There are some 3rd Party ISAPI filters (for example the one mentioned on KB 924228
) that could be installed on the Exchange Server (Backend, FrontEnd,
CAS or Mailbox Server) that can cause this behavior when the traffic
crosses the ISA Server. A more in depth investigation will be necessary
to determine the root cause in this situation.

4. Συμπέρασμα

Όπως αντιλαμβάνεστε, η προσπάθεια στο άρθρο αυτό είναι να παρουσιαστούν τα πλέον συνήθη προβλήματα τα οποία μπορούν να προκύψουν όταν υλοποιούμε το OWA publishing διαμέσου του ISA Server 2006/TMG 2010. Εάν παρόλα αυτά, τα προβλήματα συνεχίζονται καλό είναι σε πρώτη φάση να χρησιμοποιήσετε το ISA Server BPA
και TMG 2010 Server PBA αντίστοιχα, και να ελένξουμε σχοαλστικά μήπως υπάρχει κάποια πρόταση για την επίλυση του προβλήματος και εν συνεχεία να ζητήσουμε την βοήθεια του Microsoft ISA/TMG Support.and check if there is any recommendation on that.
- Read more...
- 0 comments
- 504 views
Υλοποίηση Advanced Web Protection με Forefront TMG 2010

By Jordan_Tsafaridis, April 1, 2011
Αγαπητοί συνάδελφοι της κοινότητας σε αυτό το άρθρο θα παρουσιάσουμε εκείνα τα τεχνικά χαρακτηριστικά του Forefront TMG 2010, τα οποία μας επιτρέπουν να καθορίζουμε και να βελτιώνουμε το endpoint protection strategy ενός οργανισμού και να εκτελούμε διεργασίες όπως URL filtering, malware inspection,
intrusion detection/prevention, και HTTPS inspection.
Εισαγωγή
Ο Forefront Threat Management Gateway (TMG) 2010 αποτελεί έναν integrated edge security gateway ο οποίος λειτουργεί ως ένα enterprise-class firewall, caching proxy (forward and reverse), και VPN
(remote access and site-to-site) server. Μπορεί να εγκατασταθεί με όλα αυτά τα χαρακτηριστικά ή με κάποιο υποσύνολο αυτών. Όταν εγκατασταθεί ως forward proxy
server, ο TMG firewall μπορεί να συμβάλλει στην θεαματική βελτίωση της ασφάλειας ενός οργανισμού - (overall security posture) - εκτελώντας εργασίες όπως advanced network και application
layer traffic inspection, καθώς επίσης θέτει σε εφαρμογή διαδικασίες όπως το enforcing strong user και group-based
authentication. Στο συγκεκριμένο άρθρο θα ασχοληθούμε με τα URL filtering,
malware inspection, intrusion detection/prevention, και HTTPS inspection
και πως αυτά τα χαρακτηριστικά μπορούν να βελτιώσουν και να συμπληρώσουν αντίστοιχα μια υπάρχουσα endpoint protection strategy.

URL Filtering
Με τις ενσωματωμένες δυνατότητες URL filtering, οι TMG
firewall administrators έχουν τώρα την δυνατότητα να εφαρμόζουν reputation-based
access controls στο web-based traffic. Το URL filtering αποτελεί την πρώτη γραμμή άμυνας σε ένα μοντέρνο και ασφαλές web gateway, και συνεπώς έχοντας πρόσβαση σε υπηρεσίες reputation
για τα επισκεπτόμενα web sites ο administrator μπορεί πλέον να προλάβει και να μην επιτρέψει στους χρήστες να έχουν πρόσβαση σε ιστοσελίδες/ιστότοπους οι οποίοι έχουν διαπιστωμένα κακόβουλο περιεχόμενο. Το Web site categorization διαχειρίζεται από την υπηρεσία Microsoft Reputation Services (MRS). Το MRS αποτελεί μια cloud-based categorization
service όπου ο TMG firewall την αξιοποιεί για να καθορίσει σε ποια κατηγορία το συγκεκριμένο web site ανήκει. Αμέσως μετά την κατηγοριοποίηση του συγκεκριμένου site,
ένα firewall policy processing θα καθορίσει εάν το αίτημα για πρόσβαση θα επιτραπεί ή δεν θα επιτραπεί.

Για να ενεργοποιήσουμε το URL filtering, κάνουμε highlight το Web Access Policy node και στο navigation tree κάνουμε κλικ στο Configure Web Access Policy στο Tasks
pane. Το Web Access Policy wizard θα μας οδηγήσει βήμα προς βήμα για να ενεργοποιήσουμε το URL filtering καθώς επίσης και να παραμετροποιήσουμε μια προκαθορισμένη web access policy χρησιμοποιώντας συνιστόμενα URL categories.

Εικόνα 1

Επιπροσθέτως, το Web Access Policy wizard θα ενεργοποιήσει και θα παραμετροποιήσει επίσης το malware inspection, το HTTPS inspection, και το content caching αντίστοιχα.

Malware Inspection
Με δεδομένο το ότι η λύση του URL filtering είναι 100% αποτελεσματική - (Βεβαίως καλό είναι να έχουμε υπόψην μας ότι είναι αδύνατον να κατηγοριοποιήσουμε όλες τις ιστοσελίδες του διαδικτύου) - είναι αναπόφευκτο ότι σε κάποια χρονική στιγμή οι χρήστες θα επισκεφθούν κάποια ιστοσελίδα η οποία θα περιέχει κακόβουλο περιεχόμενο. Για να μπορέσει να δώσει λύση και σε αυτές τις περιπτώσεις, ο TMG περιλαμβάνει μια gateway-integrated scanning engine για να προλαβαίνει και απαγορεύει virus και malicious software downloads. Η συγκεκριμένη μηχανή σάρωσης (scanning engine) ηοποία περιλαμβάνεται στον TMG
είναι η Microsoft anti-malware scanning engine η οποία περιλαμβάνεται σε μια πληθώρα τεχνολογιών προστασίας Forefront όπως ο Forefront Protection for
Exchange (FPE), ο Forefront Protection for SharePoint (FPSP), και ο
Forefront Endpoint Protection (FEP), για να αναφέρουμε μερικές από αυτές. Είναι επίσης το ίδιο scanning το οποίο χρησιμοποιείται στα Microsoft Security Essentials (MSE). Η μηχανή σάρωσης αυτή είναι γρήγορη, ακριβής και παράγει ελάχιστα false positives.

Για να ενεργοποιήσουμε το virus και το malicious software scanning, κάνουμε highlight στο Web Access Policy node στο navigation tree, και εν συνεχεία κάνουμε κλικ στο Configure Malware Inspection στο Tasks pane, και τέλος επιλέγουμε το Enable Malware Inspection.

Εικόνα 2

Το Virus και το malware scanning είναι πλήρως παραμετροποιήσημα στον TMG, παρέχοντας στον administrator την δυνατότητα του granular control πάνω σε κάθε τύπο περιεχομένου το οποίο πρόκειται να σαρωθεί αλλά και την μέθοδο/τρόπο με τον οποίο το περιεχόμενο αυτό θα σαρωθεί. Στο σημείο αυτό ο administrator
μπορεί να παραμετροποιήσει πιθανά exemptions στο scanning policy τα οποία διακρίνονται βάση του source ή του destination, και να καθορίσει επίσης πότε τα signature updates θα παραλαμβάνονται καθώς πότε και με πιο τρόπο θα εφαρμόζονται.

Σημείωση :
Το URL filtering και το malware scanning απαιτούν το Web Protection Service subscription license. Μια άδεια ενεργοποιεί και τα δύο αυτά χαρακτηριστικά. Περισσότερες πληροφορίες σχετικά με το θέμα αυτό μπορείτε να βρείτε σε αυτό το link.

Network Inspection System
Οι Malicious software authors πολύ συχά θα προσπαθήσουν να ανακαλύψουν vulnerabilities τα οποία μπορεί να υπάρχουν στα Microsoft
operating systems, applications, και στα networking protocols. Για να δώσει λύση και σε αυτά τα ζητήματα προστασίας ο TMG firewall περιλαμβάνει το Network Inspection System (NIS). Το NIS
αποτελεί ένα καινούριο vulnerability-based intrusion detection και prevention σύστημα το οποίο εφαρμόζει διαδικασίες ελέγχου low-level protocol inspection έτσι ώστε να είναι σε θέση να αναγνωρίσει και να απαγορεύσει επιθέσεις οι οποίες σχετίζονται με αυτά τα vulnerabilities. Τα Signatures αναπτύσσονται από το Microsoft Malware Protection Center (MMPC) και κυκλοφορούν ταυτόχρονα μαζί μετα security updates ή σε άμεση απάντηση σε zero-day vulnerabilities. Όταν το NIS ενεργοποιηθεί προλαμβάνει αυτά τα vulnerabilities από το να αξιοποιηθούν από απόσταση (exploited
remotely) και μειώνει δραματικά το παράθυρο έκθεσης μέχρι να κυκλοφορήσει το αντίστοιχο Patch διόρθωσης.

Για να ενεργοποιήσουμε το NIS, κάνουμε highlight στο Intrusion Prevention System node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure Properties στο Tasks pane, όπου εκεί επιλέγουμε το Enable NIS.

Εικόνα 3

Το NIS επιθεωρεί την κυκλοφορία στο δίκτυο (network traffic) και μπορεί να προσδιορίσει πότε ένα πρωτόκολλο που δεν είναι σύμφωνο με τα πρότυπα. Αυτά τα protocol anomalies μπορούν είτε να επιτρέπονται είτε να απαγορεύονται. Επιπροσθέτως το NIS μπορεί να παραμετροποιηθεί έτσι ώστε να μην ελέγχει επιλεγμένες ιστοσελίδες - (exempt specific
trusted sites from inspection) - εφ'οσον αυτό απαιτείται.

HTTPS Inspection
Το HTTPS communication αποτελεί μια ειδικού χαρακτήρα πρόκληση για αρκετά firewalls. Συχνά αναφέρεται και ως “universal
firewall bypass protocol”, το HTTPS κρυπτογραφεί application layer data με αποτέλεσμα ακόμη και τα πιο προηγμένα application layer firewalls να μην μπορούν να κάνουν έλεγχο στις επικοινωνίες αυτής της μορφής. Για αρκετα χρόνια οι virus και malware authors
χρησιμοποιούσαν το HTTPS ως μέθοδο για την αποστολή malicious ή infected payloads διαμέσου των
secure web gateways χωρίς να γίνονται αντιληπτοί. Κακόβουλοι χρήστες έχουν χρησιμοποιήσει το HTTPS ως κανάλι για να παρακάμψουν τον έλεγχο της πρόσβασης από το proxy
avoidance software.

Το HTTPS inspection κλείνει οριστικά αυτό το loophole. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall αντιγράφει το originally requested SSL certificate και παρέχει στο χρήστη ένα αντίγραφο. Ο TMG firewall μπορεί τώρα να κάνει τερματισμό στο SSL
session στο επίπεδο του Internal network interface να προχωρήσει σε αποκωδικοποίηση και έλεγχο όλου του outbound HTTPS communication. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall έχει πρόσβαση στο αποκωδικοποιημένο application layer data γεγονός το οποίο έχει αρκετά θαρικά χαρακτηριστικά. Ο TMG firewall έχει τώρα δυνατότητα πρόσβασης στο full request
path, και όχι μόνον στην ΙP address του συγκεκριμένου site. Με αυτήν την επιπρόσθετη πληροφορία μπορεί νε εφαρμόσει με περισσότερη ακρίβεια το URL filtering. Επίσης ο TMG
firewall μπορεί τώρα να εφαρμόσει μια HTTP policy βάση της οποίας γίνεται έλεγχος στο περιεχόμενο των viruses και του κακόβουλου λογισμικού.

Για να ενεργοποιήσουμε το HTTPS inspection, κάνουμε highlight στο Web Access Policy node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure HTTPS Inspection στο Tasks pane. Εκεί επιλέγουμε το Enable HTTPS Inspection καθώς επίσης και το Inspect traffic and validate site certificates.

Εικόνα 4

Το HTTPS inspection απαιτεί ένα server certificate να είναι εγκατεστημένο και παραμετροποιημένο στον TMG firewall. Μπορούμε να δημιουργήσουμε ένα self-signed certificate επιλέγοντας το Use Forefront TMG to generate a certificate και αμέσως μετά κάνουμε κλικ στο Generate… button. Εναλλακτικά μπορούμε να εισάγουμε ένα certificate από ένα υπάρχον εσωτερικό PKI επιλέγοντας το Import a certificate και κάνοντας κλικ αμέσως μετά στο Import… button.

Από την στιγμή κατά την οποία θα ενεργοποιηθεί, ο TMG administrator μπορεί να εξαιρεί ορισμένες αιτήσεις, καθορίζοντας specifying source και destination exceptions. Σε συνδυασμό δε με το URL
filtering, τα destination exceptions μπορούν να είναι URL categories ή URL category
sets (π.χ. Financial or Health). Επιπροσθέτως Certificate validation options και
client notification μπορούν επίσης να καθοριστούν.

Συμπέρασμα
Όταν εγκατασταθεί ως secure web gateway, ο Forefront
Threat Management Gateway (TMG) 2010 firewall αποτελεί ένα multi-layered
perimeter defense σύστημα το οποίο παρέχει ένα υψηλό επίπεδο προστασίας στους clients. Το URL filtering διασφαλίζει ότι οι clients δεν μπορούν να συνδεθούν σε όλα τα γνωστά κακόβουλα sites.Το ενσωματωμένο virus και malicious software scanning
προλαμβάνει τους χρήστες από το να κατεβάσουν infected αρχεία, και το Network
Inspection System προλαμβάνει επιθέσιες σε software vulnerabilities οποιουδήποτε Microsoft operating system ή application. Το HTTPS inspection
αντίστοιχα βελτιώνει θεαματικά όλους τους παραπάνω μηχανισμούς προστασίας εφαρμόζοντας έλεγχο σε όλο το outbound encrypted communication. Ολοκληρώνοντας μιας και όλοι αυτοί οι προηγμένοι μηχανισμοί προστασίας εφαρμόζονται στο gateway και παρέχουν προστασία όχι μόνον στους managed clients, αλλά και στους στους non-managed clients επίσης.
Ελπίζω ότι το συγκεκριμένο άρθρο θα το βείτε ιδιαίτερα χρήσιμο.
- Read more...
- 0 comments
- 567 views
Υλοποίηση VPN μεταξύ Cisco ASA και του Microsoft Forefront TMG 2010

By Jordan_Tsafaridis, March 13, 2011
Αγαπητοί συνάδελφοι της κοινότητας σε συνέχεια του άρθρου υλοποίσης VPN Tunnel μεταξύ του Juniper SRX
και του Microsoft Forefront TMG 2010 Secure Gateway προχωρούμε ένα βήμα παρακάτω και υλοποιούμε ένα VPN μεταξύ του Cisco ASAs 5505 και του Forefront TMG 2010. Και σε αυτήν την προσπάθεια το αποτέλεσμα στέφθηκε από επιτυχία. Έτσι λοιπόν θα έχουμε δύο λειτουργικά VPN configurations κάνοντας χρήση εξοπλισμού από διαφορετικούς κατασκευαστές. Ουσιαστικά χρησιμοποιούμε το ίδιο setup, με μόνη αλλαγή την χρησιμοποιήση ορισμένων διαφορετικών IP addresses
λαθώς επίσης και την αλλαγή στο σχεδιάγραμμα λειτουργίας στο οποίο αντικαθιστούμε το σύστημα SRX με το αντίστοιχο του ASA
symbol :

Όσον αφορά τα βήματα του wizard για λόγους συντομίας μπορείτε να τα βρείτε στο προηγούμενο άρθρο. Απλά προχωρούμε στις απαραίτητες αλλαγές των “default” settings στο IPSec configuration και χρησιμοποιούμε έναν διαφορετικό συνδυασμό στο Phase II συγκρινόμενον με αυτόν του SRX VPN έτσι να είμαστε συμβατοί με τον εξοπλισμό Cisco.

Phase I: Εncryption = 3DES, auth SHA1, DH group2, lifetime 28800 seconds
Phase II: Εncryption = 3DES, integrity SHA1, rekey 4608000bytes and/or 3600 seconds, pfs group2
Σε καμία περίπτωση δεν θα πρέπει να ξεχάσουμε να επανεκκινήσουμε (restart) τα TMG services μετά από την επιτυχημένη υλοποίηση του configuration ….
Το τελικό VPN παρουσιάζεται παρακάτω:

Ο VPN wizard δημιούργησε επίσης το παρακάτω network object:

Καθώς επίσης και το ακόλουθο access rule:

Το χαρακτηριστικό αυτό είναι ιδιαιτέρως χρήσιμο και αποτελεσματικό διότι μας επιτρέπει να να κάνουμε setup για το προς υλοποίηση VPN χωρίς να είναι απαραίτητο να περάσουμε διαμέσου όλων των ενδιάμεσων βημάτων στοιχείο το οποίο από μόνο εγκυμονεί την πιθανότητα λαθών. Συνεπώς η Microsoft μας βοηθά με την χρήση έξυπνων Wizards να αποφύγουμε την πιθανότητα δημιουργίας λαθών (misconfiguration).

Μετά από το setup και το restart, προχωρούμε στην παραμετροποίηση του Cisco ASA 5505 εφαρμόζοντας ένα απλό VPN site-to-site setup:
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 28800
crypto ipsec transform-set TMGTrans esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec security-association lifetime kilobytes 4608000
access-list toTMG extended permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
access-list toTMG extended permit ip 192.168.13.0 255.255.255.0 192.168.114.0 255.255.255.0
tunnel-group 172.16.100.183 type ipsec-l2l
tunnel-group 172.16.100.183 ipsec-attributes
pre-shared-key *
crypto map TMGVPN 10 match address toTMG
crypto map TMGVPN 10 set pfs
crypto map TMGVPN 10 set peer 172.16.100.183
crypto map TMGVPN 10 set transform-set TMGTrans
crypto map TMGVPN interface outside
Όπως θα παρατηρήσουμε το ping μεταξύ των δύο laptops παρουσιάζει τα αναμενόμενα αποτελέσματα στον Forefront TMG 2010:

Αντιστοίχως στον ASA:

Το IKE SA
ciscoasa(config)# show crypto isakmp sa
   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 172.16.100.183
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

Το IPSec SA:
ciscoasa(config)# show crypto ipsec sa

interface: outside
    Crypto map tag: TMGVPN, seq num: 10, local addr: 172.16.100.160
      access-list toTMG permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.114.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.13.0/255.255.255.0/0/0)
      current_peer: 172.16.100.183
      #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
      #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 6, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0
      local crypto endpt.: 172.16.100.160, remote crypto endpt.: 172.16.100.183
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: D988A73B
    inbound esp sas:
      spi: 0xC740C5FB (3342910971)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 77824, crypto-map: TMGVPN
         sa timing: remaining key lifetime (kB/sec): (3914999/3553)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x000001FD
    outbound esp sas:
      spi: 0xD988A73B (3649611579)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 77824, crypto-map: TMGVPN
         sa timing: remaining key lifetime (kB/sec): (3914999/3553)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
Ελπίζω ότι θα βρείτε το συγκεκριμένο άρθρο χρήσιμο.
(Υπενθύμιση : Συγγραφέας του άρθρου είναι ο Alex Dittman)
- Read more...
- 1 comment
- 913 views
Υλοποίηση VPN μεταξύ Microsoft Forefront TMG 2010 και Juniper SRX 210H

By Jordan_Tsafaridis, March 13, 2011
Αγαπητοί συνάδελφοι της κοινότητας μέσα από την αναζήτηση για δημοσίευση θεματογραφίας εξαιρετικού ενδιαφέροντος η οποία αφορά τον Microsoft Forefront TMG 2010 και την πληθώρα των δυνατοτήτων, παρουσιάζω παρακάτω τον τρόπο υλοποίησης και πιστοποίησης της διαλειτουργικότητας μεταξύ του Juniper SRX 210H και του security gateway Microsoft Forefront TMG 2010, με άλλα λόγια σκοπός μας είναι η δημιουργία ενός secure tunnel. Συγγραφέας του συγκεκριμένου άρθρου είναι o Axel Dittmann. Μετά από την δημιουργία/ρύθμιση του route-based VPN στο Juniper SRX, προχωρούμε εν συνεχεία διαμέσου του VPN-Wizard στον Microsoft Firewall. Λαμβάνοντας υπόψην ότι θα πρέπει να γίνουν ορισμένες αλλαγές (modifications) στα Microsoft standard
IKE και IPSec Proposals τα οποία παρέχονται διαμέσου του wizard,
τα πάντα λειτούργησαν άψογα με αποτέλεσμα το ping από το ένα site στο άλλο λειτούργησε άψογα. Το setup είναι το παρακάτω :

Όπως γίνεται άμεσα αντιληπτό με μία γρήγορη ματιά στις παρακάτω εικόνες από τον VPN-Wizard η εγκατάσταση είναι σχετικά απλή μιας και οι συγκεκριμένες εικόνες μικούν από μόνες τους :
Βήμα1ο : VPN
Βήμα 2ο: Υλοποίηση remote site VPN
Βήμα 3ο: Εκκίνηση του wizard
Βήμα 4ο : Ονομάζοντας το VPN Βήμα 5ο: tunnel endpoints
Βήμα 6ο: shared secret Βήμα 7ο: Τα tunnel endpoints βρίσκονται σε προστατευόμενο δίκτυο – Τα διαγράφουμε Βήμα 8ο: Εν συνεχεία εισάγουμε τα προστατευόμενα δίκτυα Βήμα 9ο: Αμέσως εμφανίζεται ένα warning το οποίο μας ενημερώνει ότι ορισμένα πράγματα δεν λειτουργούν Βήμα 10ο: Δημιουργία network rule Βήμα 11ο: Δημιουργία access rule Βήμα 12ο: Ολοκλήρωση
Τώρα θα ασχοληθούμε με το πιο ενδιαφέρον μέρος της δημιουργίας του συγκεκριμένου VPN. Ανοίγουμε προς επεξεργασία το πρόσφατα δημιουργημένο VPN
remote sites και επικεντρώνουμε το ενδιαφέρον μας στα default proposal settings:
(Δεξί κλικ στο remote site, Επιλογή του <Connection> και του <IPSec Settings …>)
Τα default settings του IKE Phase 1 Τα default settings του Phase 2
Προχωρούμε σε αλλαγές των settings έτσι ώστε να είμαστε συμβατοί με το σύστημα της Juniper. Απλά για να είμαστε σίγουροι ότι το σύστημα SRX είναι σε θέση να χρησιμοποιεί σωστά και να επικοινωνεί με τα συγκεκριμένα proposals --- Στο σημείο αυτό η ασφάλεια του υποκατασκευή δικτύου δεν είναι το ζητούμενο:

Συνεπώς χρησιμοποιούμε στο Phase 1: Εncryption = 3DES, Αuthentication = SHA1, DH-Group = group2 and lifetime 28800
Στο Phase 2: Εncryption = 3DES, Αuthentication = SHA1, no pfs, rekey every 3600 seconds.
Αμέσως μετά την εφαρμογή του νέου configuration το tunnel δεν στάθηκε δυνατόν να ξεκινήσει. Με προσεκτική παρατήρηση βρίσκουμε το παρακάτω μήνυμα μέσα στα SRX log:
172.16.100.180:500
(Responder) <-> 172.16.100.183:500 { 8f4cd363 13dcf3af - 9f6ff605
4d145fab [0] / 0x90b59c54 } Info; Received notify err = No proposal
chosen (14) to isakmp sa, delete it
Εκ πρώτης όψεως το μήνυμα είναι λίγο παράξενο, αλλά με μια γρήγορη ματιά κάνοντας χρήση ενός packet analyzer μας δίνει την απάντηση:

Ο Microsoft Forefront TMG 2010 μας παρέχει τα παλαιά credentials τα οποία εμπεριέχονται στην default value. Οι αλλαγές αυτές δεν έχουν καμία επίδραση στο VPN. Έτσι λοιπόν αυτό το οποίο πρέπει να κάνουμε στο σημείο αυτό είναι να επανεκκινήσουμε (restart) τα Forefront TMG services γεγονός το οποίο έχει σαν αποτέλεσμα την παροχή των σωστών credentials:

Τελικά το VPN tunnel ανέβηκε :

Όσον αφορά τον Juniper SRX VPN (route bases) το απαιτούμενι configuration είναι το εξής παρακάτω:
IKE policy:
[edit security ike]
root# show
proposal ikeproptmg {
    description toTMG;
    authentication-method pre-shared-keys;
    dh-group group2;
    authentication-algorithm sha1;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 28800;
}
policy ikepoltmg {
    mode main;
    description PolicyToTMG;
    proposals ikeproptmg;

pre-shared-key ascii-text
"$9$Sivlv8-VYZUHX7UHqmF3SreKXNZGjf5zGU/Cu0IR";
##
SECRET-DATA
}
gateway ikegatewaytmg {
    ike-policy ikepoltmg;
    address 172.16.100.183;
    external-interface ge-0/0/0;
}
IPSec Policy:
[edit security ipsec]
root# show
proposal ipsecproptmg {
    description IPSEC_to_TMG;
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 3600;
}
policy ipsecpoltmg {
    description PolicyToTMG;
    proposals ipsecproptmg;
}
vpn vpntmg {
    bind-interface st0.0;
    ike {
        gateway ikegatewaytmg;
        proxy-identity {
            local 192.168.113.0/24;
            remote 192.168.13.0/24;
            service any;
        }
        ipsec-policy ipsecpoltmg;
    }
    establish-tunnels on-traffic;
}
Και το αποτέλεσμα:
root> show security ike sa
Index   Remote Address State Initiator cookie Responder cookie Mode
12      172.16.100.183 UP     039708c225e6394e e13125bff2db04af Main
root> show security ipsec sa
Total active tunnels: 1
ID    Gateway          Port Algorithm       SPI      Life:sec/kb Mon vsys
<131073 172.16.100.183 500   ESP:3des/sha1   f2f8ab03 3562/ unlim   -   0
>131073 172.16.100.183 500   ESP:3des/sha1   6cc8f853 3562/ unlim   -   0
Το ping λειτούργησε σωστά φέρνοντας την σωστή απάντηση και συνεπώς το tunnel βρίσκεται σε λειτουργία.
Ελπίζω ότι θα βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.
- Read more...
- 0 comments
- 619 views
Forefront TMG 2010 - Scripting με VBScript και Powershell

By Jordan_Tsafaridis, February 20, 2011
Σκοπός αυτού του άρθρου είναι να παρουσιάσουμε εν συντομία το τρόπο με τον οποίο μπορούμε να διαχειριστούμε τον Forefront TMG κάνοντας χρήση VBScript καθώς επίσης πως μπορούμε να συλλέξουμε πληροφορίες διαμέσου της δυνατότητας υποστήριξης πρόσβασης "read only" PowerShell στον Forefront TMG.
Ας ξεκινήσουμε

Πρώτα απ'όλα θα πρέπει να σας εκμηστηρευτώ ότι σε καμία περίπτωση δεν είμαι ένας Scripting ή programming guru. Κατά την διάρκεια των φοιτητικών μου χρόνων ασχολήθηκα με προγραμματισμό σε γλώσσες όπως η Borland Turbo Pascal, η COBOL καθώς και η C++, αλλά ποτέ δεν ασχολήθηκα με τον προγραμματισμό επαγγελματικά. Παρόλα αυτά νομίζω ότι σε αυτό το άρθρο θα λάβετε αρκετή πληροφορία η οποία θα σας φανεί ιδιαίτερα χρήσιμη έτσι ώστε να καταλάβετε την δύναμη του VBScript και του PowerShell στον Forefront TMG, έτσι ώστε να είναι εύκολο για τον καθέναν μας να αναπτύξει τα δικά του scripts. Επιπροσθέτως θα ρίξουμε μια ματιά στο Forefront TMG SDK, στο οποίο περιλαμβάνεται και μια σειρά από ιδιαιτέρως χρήσιμα preconfigured scripts τα οποία έχουν σαν σκοπό να αυτοματοποιήσουν την εργασία της διαχείρισης του.
O Forefront TMG ως COM
To COM χρησιμοποιείται από τις τεχνολογίες scripting όπως η VBScript για την απόκτηση πρόσβασης στον Forefront TMG με την μέθοδο του προγραμματισμού. Σύμφωνα με την Wikipedia
ο όρος COM σημαίνει Component Object Model. Το Component Object Model (COM)
αποτελεί ένα πρότυπο binary-interface το οποίο σχετίζεται άμεσα με το software componentry και ανακοινώθηκε για πρώτη φορά από την Microsoft το 1993. Χρησιμοποιείται για την ενεργοποίηση του interprocess communication και του
dynamic object creation σε ένα μεγάλο εύρος γλωσσών προγραμματισμού. Συχνά δε ο όρος COM χρησιμοποιείται στην βιομηχανία ανάπτυξης λογισμικού γύρω από τα προϊόντα της Microsoft ο οποίος λειτουργεί ως ομπρέλλα κάτω από την οποία περιλαμβάνονται και τα OLE, OLE Automation, ActiveX,
COM+ και οι DCOM technologies. Το COM αποτελεί μια interface technology η οποία καθορίζεται και εφαρμόζεται/αναπτύσεται ως πρότυπο μόνον στα Microsoft Windows και στο Apple's Core
Foundation 1.3 και νεότερες εκδόσεις. Σε κάποιες δε εφαρμογές το COM αντικαταστάθηκε σε κάποιο βαθμό από το Microsoft .NET framework, όπως επίσης και η υποστήριξη των Web Services διαμέσου του Communication Foundation
(WCF). Εντούτοις, τα COM objects μπορούν να χρησιμοποιηθούν με όλες τις .NET languages διαμέσου του .NET COM Interoperability.

Ο Forefront TMG COM έχει ένα root object το οποίο ονομάζεται
FPC.Root. Αυτό το root object διαχειρίζεται το Enterprise object το οποίο ταυτοποιείται/αναγνωρίζεται ως FPCEnterprise και στους Arrays ως FPCArrays.FPC. Το Root αποτελεί το root του administration COM object hierarchy, και παρέχει πρόσβαση κάνοντας χρήση προγραμματισμού - (programmatic access) - σε άλλα FPC objects. Κάθε υπολογιστικό σύστημα Forefront TMG σχετίζεται - (associated) - με έναν μοναδικό array ως ένα από αρκετά fpcServer objects μέσα σε μία συλλογή από fpcServers.

Άλλα objects τα οποία διαχειρίζονται από αυτό το Enterprise object και από το Array object είναι τα ακόλουθα:

Admin Security object (χρησιμοποιείται από το Enterprise και από το Array)

Extensions object (χρησιμοποιείται από το Enterprise και από το Array)

Policy Rule object (χρησιμοποιείται από το Enterprise και από το Array)

Server object (χρησιμοποιείται από το Array)

Rule Elements object (χρησιμοποιείται από το Enterprise και από το Array)

Cache object (χρησιμοποιείται από το Array)

Network Configuration object (χρησιμοποιείται από το Enterprise και από το Array)

Array Policy object (χρησιμοποιείται από το Array)

IP object (χρησιμοποιείται από το Array)
Based on this knowledge you should have a better
understanding about the VBScript script examples which you can found on
several Internet websites and in the Forefront TMG SDK. An understanding
of COM objects is also helpful when you use the PowerShell to query
Forefront TMG objects. Forefront TMG has no built-in PowerShell CMDLets
and will use COM.

Forefront TMG SDK
Αρχικά θα ξεκινήσουμε με το Forefront TMG SDK, το οποίο μπορούμε να το κατεβάσουμε δωρεάν από το Microsoft website. Θα βρείτε τον διαδικτυακό σύνδεσμο (link) για να κατεβάσετε αυτό το SDK στο τέλος αυτού του άρθρου. Το Forefront TMG SDK
έρχεται με ένα πάρα πολύ χρήσιμο documentation στο οποίο περιγράφεται εκτενώς ο προγραμματισμός του Forefront TMG
καθώς επίσης πληροφορίες ανώτερου επιπέδου σχετικά με μία σειρά από εσωτερικά Forefront TMG
concepts. Το Forefront TMG SDK περιλαμβάνει και μια σειρά από παραδείγματα scripting από τα οποία θα χρησιμοποιήσω ορισμένα κομμάτια κώδικα.

Εικόνα 1: Forefront TMG SDK – Παραδείγματα Script

Ένα από τα παραδείγματα scripts μας επιτρέπει να προσθέσουμε Forefront
TMG Administrators στο role based access model του Forefront TMG, όμως μόνον στο Monitor group. Εδώ επιτρέψτε μου ότι θα αποτελούσε μια ευχάριστη άσκηση ο εμπλουτισμός του συγκεκριμένου script έτσι ώστε να προσθέσετε τον Αdministrator και σε άλλα Forefront TMG roles.

Εικόνα 2: Προσθήκη χρήστη στο Monitor role group του Forefront TMG

Παραδείγματα VBScript

Ο ευκολότερος τρόπος για να αυτοματοποιήσουμε ορισμένα tasks στον Forefront TMG είναι με την χρήση των VBScript.
Τα VBScript ήταν επίσης διαθέσιμα και στην παλαιότερη έκδοση του Forefront TMG και μπορούν να χρησιμοποιηθούν για την αυτοματοποίηση ορισμένων administration tasks. Το πρώτο παράδειγμα script σας εμφανίζει όλους τους Forefront TMG arrays.

Το script ξεκινα με την ρύθμιση του Forefront TMG
root το οποίο είναι πάντοτε το FPC.Root και οριοθετεί μια παράμετρο - (set a variable) - η οποία θα περιέχει τους Forefront TMG arrays (objFPC.Arrays). Το script θα εμφανίζει ένα Input Box όπου θα εισάγουμε το όνομα του Forefront TMG array ή αντιστοίχως θα αφήνουμε το dialog box κενό έτσι ώστε να αλμβάνουμε μία λίστα από όλους τους διαθέσιμους Forefront TMG arrays.

Εικόνα 3: Εμφάνιση πληροφοριών για τον Forefront TMG array.

Ένα κλασικό Script

Ένα κλασικό script το οποίο έχω χρησιμοποιήσει αρκετές φορές σε εγκαταστάσεις ISA Server και Forefront TMG
είναι η εξαγωγή όλου του Forefront TMG configuration κάνοντας χρήση ενός
script. Μπορείτε να χρησιμοποιήσετε το παρακάτω script σε συνδυασμό με τον Windows Task Scheduler για να εξάγετε το όλο το Forefront TMG configuration σε κάποιον άλλο host σε επαναλαμβάνομενα χρονικά διαστήματα.

Dim fileName

Dim WSHNetwork

Dim shareName: shareName = WScript.Arguments(0)

Dim xmldom : set xmldom = CreateObject("Msxml2.DOMDocument")

Dim fpc : set fpc = WScript.CreateObject("Fpc.Root")

Dim array : set array = fpc.GetContainingArray

set WSHNetwork = CreateObject("WScript.Network")

fileName=shareName & "\" & WSHNetwork.ComputerName & "-" &

Month(Now) & "-" & Day(Now) & "-" & Year(Now) & ".xml"

array.Export xmldom, 0

xmldom.save(fileName)

Αυτό το script χρησιμοποιεί το Windows Scripting Host (WSH), καθορίζει το Forefront TMG Root (FPC.Root), ορίζει κα΄ποιες μεταβλητές και εν συνεχεία δημιουργεί ένα αρχείο XML το οποίο βασίζεται στην συγκεκριμένη ημέρα κατά την οποία αυτό το script εκτελέστηκε. Συνεπώς δεν έχετε παρά να σώσετε το παραπάνω παράδειγμα scripting ως ένα αρχείο με .VBS extension και αμέσως μετά δημιουργήστε ένα αρχείο batch με την ακόλουθη σύνταξη:

Cscript TMGBACKUP.VBS \\RemoteServer\TMG-BACKUP

Το παραπάνω θα δημιουργήσει ένα αντίγραφο ασφαλείας του Forefront TMG
configuration στο προκαθορισμένο file share (TMG-Backup). Εάν επιθυμείτε να δημιουργήσετε επαναλαβάνομενα backups του δικού σας Forefront TMG configuration απλά πρέπει να δημιουργήσετε ένα task με το Windows Task Scheduler, το οποίο θα εκτελεί το συγκεκριμένο αρχείο batch.

Εξαγωγή του ISA Server 2006 VPN configuration και εισαγωγή του στον Forefront TMG
Το επόμενο παράδειγμα είναι πιο περίπλοκο. Πραγματοποιεί την εξαγωγή του ISA Server 2006 VPN
configuration και την εισαγωγή του σε έναν Forefront TMG Server. Το script αυτό δημιουργήθηκε από τον MVP
Christian Groebner. To πλήρες άρθρο μπορείτε να το βρείτε στον παρακάτω σύνδεσμο ο οποίος είναι αφιερωμένος αποκλειστικά στον ISA Server και τον Forefront TMG.

Εάν θέλετε να χρησμοποιήσετε αυτό το script example απλά κάνετε copy όλο το κείμενο στο Notepad και το σώζετε με .VBS extension.

' ----- Sub restore_ipsec_settings -----

Sub restore_ipsec_settings(fpcRoot, VPN_Name, Int_PhaseI, Enc_PhaseI, Int_PhaseII, Enc_PhaseII)

Dim Intproviders
Dim Encproviders

Intproviders = Array("SHA1","MD5")
Encproviders = Array("DES","3DES")

set objIPSec = fpcRoot.GetContainingArray.NetworkConfiguration.Networks.Item(VPN_Name).VPNConfiguration.IPSecSettings

wscript.echo "Restoring IPSec-settings for network" & VPN_Name & vbCrLf
wscript.echo "Phase I integrity : " & Intproviders(Int_PhaseI)
objIPSec.Phase1Integrity = Int_PhaseI
wscript.echo "Phase I encryption : " & Encproviders(Enc_PhaseI)
objIPSec.Phase1Encryption = Enc_PhaseI
wscript.echo "Phase II integrity : " & Intproviders(Int_PhaseII)
objIPSec.Phase2Integrity = Int_PhaseII
wscript.echo "Phase II encryption : " & Encproviders(Enc_PhaseII) & vbCrLf
objIPSec.Phase2Encryption = Enc_PhaseII
wscript.echo "Successfully applied the settings"
wscript.echo "-----------------------------------------------------------" & vbCrLf

End Sub

' ------ Sub Main -------

Sub Main()

Dim PhaseI_Int
Dim PhaseI_Enc
Dim PhaseII_Int
Dim PhaseII_Enc
Dim config

config
= Inputbox("Please enter the complete path and filename with extension
to the existing configuration file of ISA 2006 : (Example:
C:\Temp\config.xml)")

Set xmlFile = CreateObject("Microsoft.XMLDOM")

If xmlFile.load(config) then

  set objFPC = CreateObject("FPC.Root")

  Set networkNodes = xmlFile.getElementsByTagName("fpc4:Network")

  For each networkNode in networkNodes

   If (Not(networkNode.selectSingleNode("fpc4:NetworkConnectionType") is Nothing)) Then

    If (networkNode.selectSingleNode("fpc4:NetworkConnectionType").Text = 4) Then

     PhaseI_Int = 0
     PhaseI_Enc = 1
     PhaseII_Int = 0
     PhaseII_Enc = 1
     Name = networkNode.selectSingleNode("fpc4:Name").Text

     Set ipsecSettingsNode = networkNode.selectSingleNode("fpc4:VpnNetworkConfiguration/fpc4:VpnNetworkIPSecSettings")

     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption")
is Nothing)) Then PhaseI_Enc =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption").Text
     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity")
is Nothing)) Then PhaseI_Int =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity").Text
     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption")
is Nothing)) Then PhaseII_Enc =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption").Text
     If

(Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity")
is Nothing)) Then PhaseII_Int =
ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity").Text

     restore_ipsec_settings objFPC, Name, PhaseI_Int, PhaseI_Enc, PhaseII_Int, PhaseII_Enc

    End If

   End If

  Next

objFPC.GetContainingArray.Save

Else

  wscript.echo("The file does not exist!")

End If

End Sub

'------ Start the script ------

Main

Εμφάνιση των Forefront TMG URL κατηγοριών
Μία από τις καινούριες ιδιότητες - λειτουργίες του Forefront TMG είναι η υποστήριξη του for dynamic
URL filtering. Το URL filtering χρησιμοποιεί κατηγορίες. Για να εμφανίσετε όλες τις τις Forefront TMG URL filter κατηγορίες, θα πρέπει να δημιουργήσετε ένα script με τον παρακάτω κώδικα:

set root=CreateObject("FPC.Root")

For Each cat in root.GetContainingArray().RuleElements.UrlCategories

    wscript.echo "'" & cat.Name & "' --> " & cat.CategoryID

Next

Το output του παραπάνω script παρουσιάζεται παρακάτω:

Εικόνα 4: Εμφάνιση του Forefront TMG array information

Ο Forefront TMG και το PowerShell
Ο Forefront
TMG δεν έχει ενσωματωμένο το Windows PowerShell cmdlet, αλλά μπορούμε αν'αυτού να χρησιμοποιήσουμε τα COM objects. Όταν έχουμε πρόσβαση στο ProgID ενός COM component,
το οποίο είναι αποθηκευμένο στην Registry μπορούμε να χρησιμοποιήσουμε την εντολή New-Object command στο Windows PowerShell όπως θα διαπιστώσετε στο επόμενο screenshot (Root
Object is always FPC.Root).

Εικόνα 5: Καθορισμός του TMG Root Object

Εμφάνιση του Forefront TMG Root

Αμέσως μετά τον καθορισμό του Forefront TMG Root Object στο Windows
PowerShell μπορούμε να λάβουμε πληροφορία σχετικά με το Forefront TMG Root Object
configuration, όπως αυτό παρουσιάζεται στο παρακάτω screenshot.

Εικόνα 6: Εμφάνιση του Forefront TMG root

Query single Forefront TMG objects.

Εάν θέλουμε να κάνουμε query σε ένα και μόνον Forefront TMG objects εισάγουμε $TMGRoot. στο Windows PowerShell window και κάνουμε κλικ στο TAB key πίσω από το $TMGRoot. definition για να εμφανιστούν όλα τα στοιχεία (all elements).

Εικόνα 7: Query Forefront TMG objects κάτω από το FPC.Root

Εικόνα 8: Εμφάνιση των properties του FPC.Root

Καθορισμός του Forefront TMG Enterprise και του Array configuration με το Export
Στο τελευταίο μας παράδειγμα θα μάθουμε τον τρόπο με τον οποίο μπορούμε να χρησιμοποιήσουμε το PowerShell σε συνδυασμό με τον Forefront TMG. Αυτό το παράδειγμα script μπορείτε να το κατεβάσετε από αυτόν τον σύνδεσμο. Το script αυτό καθορίζει τον Forefront TMG Enterprise και τους συνδεόμενους σε αυτόν arrays και εξάγει το configuration σε ένα αρχείο XML.

Συμπέρασμα
Ολοκληρώνοντας σε αυτό το άρθρο σας παρουσίασα μια σύντομη εισαγωγή του τρόπου με τον οποίο μπορείτε να διαχειριστείτε τον Forefront TMG κάνοντας χρήση των VBscript και του Microsoft PowerShell. Υπάρχουν διαθέσιμα στο διαδίκτυο πολλά ελεύθερα προς κατέβασμα και χρήση παραδείγματα Script όπου με λίγη προγραμματιστική προσπάθεια πιστεύω ότι μπορείτε να δημιουργήσετε τα δικά σας scripts
τα οποία είμαι βέβαιος ότι θα διευκολύνουν την καθημερινή σας διαχείριση του Forefront TMG. Ελπίζω ότι η επόμενη έκδοση του Forefront TMG θα παρέχει πλήρη υποστήριξη του PowerShell.
- Read more...
- 0 comments
- 726 views

Sign In

Jordan_Tsafaridis

Posts

Joined

Last visited

Content Type

Profiles

Articles

Forums

Blogs

Blog Entries posted by Jordan_Tsafaridis

Σχετικά με το νέο Stuxnet-Like Worm Duqu - Μέρος 2ο

Η ομάδα που δημιούργησε τον Stuxnet επιστρέφει με τον Duqu

Τα καινούρια χαρακτηριστικά των Windows 8 για το Hyper-V Based Cloud Computing (Μέρος 1ο)

Διαχείριση του Citrix XenServer με τον Microsoft System Center VMM 2012

Δωρεάν λογισμικό Exchange 2010 HAProxy Virtual Load Balancer

Προστατεύοντας τις Exchange databases χρησιμοποιώντας τον DPM 2010

Exchange 2010 Μήνυμα λάθους : Object is read only because it was created by a future version of Exchange: 0.10 (14.0.100.0). Current supported version is 0.1 (8.0.535.0).

H Microsoft εξάρθρωσε δίκτυο που έστελνε 4 εκατ. spam email καθημερινά

Windows 8 Server – Εφαρμογή του Remote DCPROMO και Deployment

Windows 8 Server – Προσθήκη και Αφαίρεση ρόλων

Οι χάκερς κοστίζουν ακριβά

Οι χάκερς θα "χτυπήσουν" και αυτοκίνητα

Forefront TMG 2010 Network Inspection System Σε Συνδυασμό Με Custom Protocols

M86 Security Labs Report 1H2011 Ιανουάριος - Ιούνιος 2011

Vulnerability in the Forefront TMG 2010 Client Could Allow Remote Code Execution

IBM » AIX : Security Vulnerabilities - Μάϊος 2011

Exchange Server 2010/2010 SP1 & Event ID 106

IE9 versus Chrome: which one blocks malware better? The answer is IE9

Android DroidDream Uses Two Vulnerabilities

Check Point SSL VPN On-Demand Applications Remote Code Execution - Vulnerabilities

Troubleshooting OWA 2007/2010 Publishing Rules on ISA Server 2006/TMG 2010

Υλοποίηση Advanced Web Protection με Forefront TMG 2010

Υλοποίηση VPN μεταξύ Cisco ASA και του Microsoft Forefront TMG 2010

Υλοποίηση VPN μεταξύ Microsoft Forefront TMG 2010 και Juniper SRX 210H

Forefront TMG 2010 - Scripting με VBScript και Powershell

Browse

Activity

Pages