Jump to content

Jordan_Tsafaridis

Members
 View Profile  See their activity

  • Posts

    106

  • Joined

  • Last visited

 Content Type 

Blog Entries posted by Jordan_Tsafaridis

  1. Jordan_Tsafaridis
    Η επικράτεια των χάκερς διευρύνεται με ανησυχητικό τρόπο, ξεφεύγοντας
    για τα καλά από το πεδίο των ηλεκτρονικών υπολογιστών και των κινητών
    τηλεφώνων, καθώς η εξειδικευμένη εταιρία κυβερνο-ασφάλειας και
    λογισμικού κατά των ιών McAfee, σε νέα έκθεσή της, προειδοποιεί ότι στο
    μέλλον είναι δυνατό να τεθεί σε κίνδυνο η ίδια η ζωή των οδηγών
    αυτοκινήτων.
     
     
     
    Καθώς τα οχήματα αποκτούν όλο και περισσότερους κομπιούτερ και άλλα
    ηλεκτρονικά συστήματα και, παράλληλα, διασυνδέονται ασύρματα στο
    διαδίκτυο, κακόβουλοι χάκερ θα μπορούσαν να πάρουν εξ αποστάσεως τον
    έλεγχο του αυτοκινήτου, ακόμα και να σβήσουν τον κινητήρα, ενώ ο οδηγός
    κινείται στο δρόμο.
     
     
     
    Η εταιρία προειδοποιεί ότι υπάρχει πια τόσο πολύ ενσωματωμένο λογισμικό
    σε ένα αυτοκίνητο, από τους αερόσακους και τα ραδιόφωνα έως τα καθίσματα
    και τα συστήματα ελέγχου πλοήγησης, που οι χάκερ θα μπορούσαν να
    προκαλέσουν πολλαπλά και, εν δυνάμει, επικίνδυνα προβλήματα.
     
     
     
    Νωρίτερα φέτος, ερευνητές έδειξαν στην πράξη -όχι θεωρητικά- και μάλιστα
    με διάφορα μοντέλα αυτοκινήτων ότι είναι δυνατό ένας χάκερ από απόσταση
    να ανοίξει τις πόρτες του οχήματος ή να ξεκινήσει την μηχανή,
    χρησιμοποιώντας απλά γραπτά μηνύματα.
     
     
     
    Οι δυνητικές κυβερνο-επιθέσεις κατά αυτοκινήτων περιλαμβάνουν, σύμφωνα
    με τη βρετανική «Ντέιλι Μέιλ», την εξ αποστάσεως απενεργοποίηση του
    οχήματος, το κλείδωμα και ξεκλείδωμα του κινητήρα μέσω κινητού
    τηλεφώνου, τον εντοπισμό της ακριβούς γεωγραφικής θέσης του αυτοκινήτου,
    την κλοπή προσωπικών δεδομένων μέσω συστήματος Bluetooth, την
    παρεμπόδιση της πλοήγησης μέσω δορυφορικών συστημάτων κ.α.
     
     
     
    «Όσο ολοένα περισσότερες λειτουργίες ενσωματώνονται στην ψηφιακή
    τεχνολογία των αυτοκινήτων, η απειλή μιας επίθεσης και κακόβουλης
    χειραγώγησης αυξάνει», αναφέρει η έκθεση.
     
     
     
    Η McAfee επισημαίνει ότι η τάση των καταναλωτών-οδηγών είναι να
    επιθυμούν όλο και περισσότερες διασύνδεσης του οχήματός τους, ώστε να
    αποτελεί προέκταση του υπολογιστή και του «έξυπνου» τηλεφώνου τους, όμως
    προειδοποιεί τις αυτοκινητοβιομηχανίες ότι δεν πρέπει καθόλου να
    υποτιμήσουν τους κινδύνους από τυχόν κακόβουλο λογισμικό.
     
     
     
    Πηγή: ΑΠΕ- ΜΠΕ, Π. Δρακόπουλος
  2. Jordan_Tsafaridis
    Ένα intrusion detection and prevention system
    (IDS/IPS) αποτελεί ένα από τα πλέον σημαντικά και αναπόσπαστα συστατικά ενός σύγχρονου και ασφαλούς web gateway. Το
    Network Inspection System (NIS) στον Forefront Threat Management Gateway
    (TMG) 2010 αποτελεί μια μοναδική από τεχνολογική άποψη εφαρμογή του IDS/IPS. Το σύστημα NIS εστιάζεται ιδαιτέρως στην αναγνώριση, πρόληψη και αντιμετώπιση των επιθεσεων στα λειτουργικά συστήματα της Microsoft και στις αντίστοιχες εφαρμογές. Το NIS χρησιμοποιεί signatures τα οποία έχουν αναπτυχθεί από το Microsoft Malware Protection Center (MMPC) και τα οποία διανέμονται διαμέσου του Windows Update γνωστό και με την ονομασία WSUS.

    Το NIS στον Forefront TMG 2010 παρέχει προστασία εφαρμόζοντας low-level
    network protocol inspection. Κάθε πακέτο υπόκειται σε ανάλυση επιπέδου protocol
    state, message structure, καθώς και message content. Αντιστοίχως όταν λαμβάνεται ένα πακέτο, το σύστημα NIS θα το ελένξει μόνον όταν αυτό επιτρέπετε από το firewall policy, και επίσης μόνον αφότου οποιαδήποτε συσχετιζόμενα web ή application filters το έχουν επεξεργαστεί.

    Υπάρχει ένα μειονέκτημα, ωστόσο. ΄Οταν υπάρχει ένα custom protocol αυτό δεν υπόκειται σε NIS inspection από τον Forefront TMG firewall εκτός και αν αυτό συσχετίζεται με ένα standard protocol. Αποτελεί συχνό φαινόμενο όπου ένας Forefront TMG firewall administrator θα δημιουργήσει ένα custom protocol για ένα standard protocol το οποίο χρησιμοποιεί μία non-standard port.
    Ένα από τα πλέον κοινότυπα πρωτόκολα το οποίο παραμετροποιείται να χρησιμοποιεί non-standard
    ports είναι το HTTP protocol. Για παράδειγμα, εάν ένας administrator καθορίσει ένα custom protocol για να υποστηρίξει μια εφαρμογή web-based η οποία με την σειρά της χρησιμοποιεί την non-standard TCP port 62112, τότε το NIS δεν θα ελένξει αυτό το traffic παρότι η επικοινωνία είναι HTTP, το οποίο αποτελεί ένα πρωτόκολο το οποίο το NIS υπό κανινικές συνθήκες το επεξεργάζεται και το ελέγχει όταν αυτό λαμβάνει χώρα πάνω από το standard TCP port 80.

    Για να εφαρμόσουμε το Forefront TMG NIS inspection σε ένα custom protocol θα πρέπει πρώτα να συσχετιστεί με ένα standard protocol. Στο παράδειγμά μας χρησιμοποιούμε το πρωτόκολο
    HTTP πάνω από ένα non-standard port, και συνεπώς θα πρέπει να συσχετίσουμε το δικό μας custom
    protocol με το Web Proxy Filter.



    Ενσυνεχεία συσχετίζουμε το custom protocol με ένα standard protocol definition, το οποίο στην προκειμένη περίπτωση είναι το HTTP Proxy.



    Αφότου ολοκληρώσουμε την παραπάνω διαδικασία, το Forefront TMG NIS inspection θα εφαρμοστεί στο custom protocol και η αντίστοιχη πολιτική θα πολιτική θα επιβληθεί, σύμφωνα με την τρέχουσα διαμόρφωση NIS.
    Ελπίζω ότι θα βρείτε το παραπάνω χρήσιμο.

  3. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας παρακάτω σας παραθέτω τον σύνδεσμο για να κατεβάσετε το εξαμηνιαίο vulnerabilities report. O σύνδεσμος είναι ο παρακάτω :
     
    http://www.m86security.com/documents/pdfs/security_labs/m86_security_labs_report_1h2011.pdf
     
    Επιπροσθέτως σας παρακαλώ να μελετήσετε και τα παρακάτω στοιχεία :
     

    Malware Statistics
     

    World Malware Map - May 2011
     

    Where is most malicious code being hosted in the world?
     




    Top 5 Most Observed Vulnerabilities - May 2011
    Anonymized feedback from M86 filtering installations showed most observed threats were based on the following vulnerabilities:
    Vulnerability Disclosed Patched Microsoft Internet Explorer RDS ActiveX 2006 2006 Office Web Components Active Script Execution 2002 2002 Adobe Reader util.printf() JavaScript Function Stack Overflow Exploit 2008 2009 Adobe Acrobat and Adobe Reader CollectEmailInfo JavaScript method buffer overflow vulnerability 2008 2008 Internet Explorer Table Style Invalid Attributes 2010 2010  
    Ελπίζω ότι θα σας φανούν χρήσιμα.
     
  4. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας είναι χαρακτηριστικό ότι είναι εξαιρετικά σπάνια η περίπτωση κατά την οποία θα δείτε ένα security update για οτιδήποτε σχετίζεται με τον Forefront TMG firewall. Εντούτοις, στο June 2011 security bulletin περιλαμβάνεται το update MS11-040 το οποίο επιλύει ένα privately reported vulnerability στον Forefront TMG client το οποίο ενδεχομένως μπορεί να επιτρέψει ένα remote code execution. Σας εφιστώ την προσοχή σας διότι αυτό το security εφαρμόζεται μόνον στον Forefront TMG client, και όχι στο firewall. Επιπροσθέτως, σας ενημερώνω ότι δεν εφαρμόζεται στις προηγούμενες εκδόσεις του ISA firewall client.

    Πριν από την εφαρμογή του MS11-040 update, η τελευταία/πρόσφατη έκδοση του Forefront TMG client ήταν το build 7.0.7734.100. Μετά την εφαρμογή του MS11-040 update, το νέο build number θα είναι το 7.0.7734.182.


    Ελπίζω ότι το παραπάνω θα σας φανεί ιδιαιτέρως χρήσιμο.

  5. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, είναι γνωστό ότι πάρα πολύ από εμάς εργάζονται σε μικτά περιβάλλοντα. Αυτό σημαίνει ότι πρέπει να συντηρούμε υπολογιστικά συστήματα βασισμένα σε περιβάλλον Microsoft Windows, σε συνδυασμό με Linux, HP/UX, IBM AIX. Το συγκεκριμένο άρθρο σχετίζεται με την διαδραστικότητα μεταξύ Microsoft Windows Active Directory και IBM AIX, όπου το IBM AIX παρουσιάζει ένα σημαντικό κενό ασφάλειας.
     
    Για αποφυγή παρεξηγήσεων παραθέτω αυτούσιο το άρθρο στην Αγγλική γλώσσα καθώς και τα σχετικά links :
     
    http://www.cvedetails.com/vulnerability-list/vendor_id-14/product_id-17/IBM-AIX.html
     
    http://www.cvedetails.com/cve/CVE-2011-1561/
     

    Vulnerability Details : CVE-2011-1561


    The LDAP login feature in bos.rte.security 6.1.6.4 in IBM AIX 6.1, when
    ldap_auth is enabled in ldap.cfg, allows remote attackers to bypass
    authentication via a login attempt with an arbitrary password.


    Publish Date : 2011-04-05 Last Update Date : 2011-04-05












    Collapse All
     
    Expand All
     
    Select
     
    Select&Copy
     

    Scroll To 


    Comments 

    External Links 

    Click here if you can't see the dropdown menus or if you want to expand them now
     
     


    -
    CVSS Scores & Vulnerability Types


    Cvss Score 6.8 Confidentiality Impact Partial
    (There is considerable informational disclosure.) Integrity Impact Partial
    (Modification of some system files or
    information is possible, but the attacker does not have control over
    what can be modified, or the scope of what the attacker can affect is
    limited.) Availability Impact Partial
    (There is reduced performance or interruptions in resource availability.) Access Complexity Medium
    (The access conditions are somewhat specialized. Some preconditions must be satistified to exploit) Authentication Not required
    (Authentication is not required to exploit the vulnerability.) Gained Access None Vulnerability Type(s) Bypass a restriction or similar CWE ID 287  



    -
    Products Affected By CVE-2011-1561

    # Product Type Vendor Product Version Update Edition Language

    1 OS IBM AIX 6.1


    Details Vulnerabilities


    -
    Number Of Affected Versions By Product



    Vendor

    Product

    Vulnerable Versions
    IBM AIX
    1  
     



    -
    References For CVE-2011-1561


    http://aix.software.ibm.com/aix/efixes/security/ldapauth_advisory.asc CONFIRM

    http://secunia.com/advisories/43968
    SECUNIA 43968
    http://securitytracker.com/id?1025273
    SECTRACK 1025273
    http://www-01.ibm.com/support/docview.wss?uid=isg1IZ97416
    AIXAPAR IZ97416
    http://www.vupen.com/english/advisories/2011/0836
    VUPEN ADV-2011-0836  
     


     







    -
    Metasploit Modules Related To CVE-2011-1561

    There are not any metasploit modules related to this vulnerability (Please visit www.metasploit.com for more information)
     
  6. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, πιθανώς να έχετε βρεθεί και εσείς στην θέση, όπου σε μια εγκατάσταση Microsoft Exchange Server 2010/2010SP1 θα παρατηρήσατε μια σειρά λαθών τα οποία εμφανίζονται στο Application log αφότου το Microsoft
    Exchange RPC Client Access service έχει ξεκινήσει. Έχω παρατηρήσει ότι το συγκεκριμένο λάθος εμφανίζεται σε servers στους οποίους είναι εγκατεστημένο μόνον το Mailbox Role. Παρότι και ο CAS role έχει ένα service το οποίο επίσης ονομάζεται Microsoft Exchange RPC Client Access το συγκεκριμένο μήνυμα λάθους δεν έχει παρατηρηθεί ότι εμφανίζεται όταν υπάρχει εγκατεστημένο μόνο το CAS Role στον server χωρίς το Mailbox  Role.



    Όλα τα λάθη προέρχονται από το Performance counter category name MSExchange RpcClientAccess.

    Αναλυτικότερα - Event ID 106, Source MSExchange Common, Level Error:

    Log Name:      Application
    Source:        MSExchange Common
    Date:          24.1.2011 21:25:17
    Event ID:      106
    Task Category: General
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      ServerName.fqdn.local
    Description:
    Performance
    counter updating error. Counter name is RPC Requests, category name is
    MSExchange RpcClientAccess. Optional code: 3. Exception: The exception
    thrown is : System.InvalidOperationException: The requested Performance
    Counter is not a custom counter, it has to be initialized as ReadOnly.
       at System.Diagnostics.PerformanceCounter.Initialize()
       at System.Diagnostics.PerformanceCounter.set_RawValue(Int64 value)
       at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.set_RawValue(Int64 value)
    Last
    worker process info : System.UnauthorizedAccessException: Access to the
    registry key
    'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\Transport' is
    denied.
       at Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str)
      
    at Microsoft.Win32.RegistryKey.CreateSubKey(String subkey,
    RegistryKeyPermissionCheck permissionCheck, RegistrySecurity
    registrySecurity)
       at Microsoft.Exchange.Diagnostics.ExPerformanceCounter.GetLastWorkerProcessInfo()

    Θα πρέπει σε αυτό το σημείο να σημειώσουμε ότι σε καμία περίπτωση δεν πρέπει να ανησυχείτε για αυτό το συγκεκριμένο λάθος. Η Microsoft έχει δημισιέυσει το παρακάτω άρθρο KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010. Μάλιστα αναφέρει επακριβώς τα παρακάτω :


    This problem occurs because the performance counters of the RPC
    Client Access service are not installed when you install only the
    Mailbox role on an Exchange Server 2010 server. However, this does not
    affect the functionality of the Exchange Server 2010 server.

    Οπωσδήποτε σε καμία περτωση δεν είναι ωραίο από την πλευρά ενός τεχνικού ΙΤ να παρουσιάζονται τόσα πολλά μηνύματα λαθών στον Event Viewer αμέσως μετά την επανεκκίνηση του Microsoft Exchange RPC Client Access service. Για τον λόγο αυτό παρακάτω παρουσιάζω τον τρόπο με τον οποίο εγκαθιστούμε manually τους RPC Client Access performance counters.

    Εγκατάσταση - Προσθήκη των  RPC Client Access performance counters

    Εκκινούμε τον Exchange Management Shell και γράφουμε τις παρακάτω εντολές, όπου "C" ο οδηγός δίσκου στον οποίο είναι εγκατεστημένος ο Microsoft Exchange 2010 Server.
    Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Setup New-PerfCounters -DefinitionFileName "C:\Program Files\Microsoft\Exchange
    Server\V14\Setup\Perf\RpcClientAccessPerformanceCounters.xml"
     

    Κάνουμε Restart τον server ή το Microsoft Exchange RPC Client Access service. Πλέον τα μηνύματα λάθους δεν εμφανίζονται, γεγονός το οποίο κάνει τους administrators χαρούμενους…
     

    Links:

    KB982679 - Event ID 106 is logged when you start the RPC Client Access service on Exchange Server 2010 How to fix/repair broken Exchange 2007 counters How to unload/reload performance counters on Exchange 2010  
  7. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας,
     
    Στις 26-4-2011, έλαβε χώρα ένα εξαιρετικά εμπεριστατομένο τεστ αξιοπιστίας και ασφάλειας μεταξύ Microsoft Internet Explorer 9 και Google Chrome. Σας παραθέτω παρακάτω τα αποτελέσματα αυτού του τεστ αυτούσιο στην Αγγλική γλώσσα καθώς και τα σχετικά link στο διαδίκτυο. (Ελπίζω να σας φανεί χρήσιμο)
     
    Last week I looked at a fascinating sample of malware that specifically targeted users of Google Chrome.
    Over the past few days, I’ve been looking more closely at this
    particular malware attack, which appears to be widespread and extremely
    persistent.
     
     
     
    Social engineering has become the dominant method of distribution for
    fake antivirus software. And most modern browsers, with one exception,
    do a terrible job of dealing with this type of threat. Current builds of
    Chrome display a terrible flaw that puts you at greater risk than its
    competitors. In my testing, a malware author was able to exploit Chrome
    in four easy clicks. In stark contrast, Internet Explorer 9 used some
    new technology to flag the exact same sites and files as suspicious,
    providing unmistakable warnings that have been shown to stop 95% of
    these attacks in their tracks.
     
     
     
    I’ve captured the experience for both browsers in these two videos and in an accompanying screenshot gallery
    so you can see for yourself. And if you make it to page 3, you’ll read
    about the new reputation-based technology that’s given IE9 the lead.
     
     
     
    First a little background. Fake antivirus software has been around for
    at least seven years, but this category of attack has exploded in
    popularity among bad guys in recent months. The technique is simple
    social engineering, and it works by scaring the target into thinking
    their system has been infected with a virus (or a whole bunch of them)
    and then offering to fix the problem—for a fee. The fake AV software
    often downloads additional Trojans and can actually cause the sort of
    problems it claims to be solving.
     
     
     
    Here’s how it goes when you’re using Google Chrome 10 on Windows 7.
    Notice the attention to detail that the malware authors used in this
    attack. The dialog boxes and warning screens certainly look like they’re
    part of Google Chrome. (I recommend clicking the full-screen button in
    the lower right corner of the video clips below so you can see all the
    details in each one.)
     
     
     

     
     
    Now here’s an attack from the same set of search results, this time
    gathered using Internet Explorer 9. The fake scan is a pretty decent
    imitation of a Windows 7 security screen. But the result is different.
     
     
     

     
     
     
    By Ed Bott | April 25, 2011, 7:23pm PDT

    Malware authors target Google Chrome
    Every time I write about Internet Explorer, it’s usually a matter of minutes—sometimes even seconds—until someone in the Talkback
    section proclaims, smugly, that they’ve switched to Google Chrome or
    Firefox and are therefore immune from malware attacks.

    They’re wrong, and malware authors have begun preying on users of
    alternative browsers to push dangerous software, including Trojans and
    scareware. The problem is that most malware attacks aren’t triggered by
    exploits that target vulnerabilities in code. Instead, according to one recent study,
    “users are four times more likely to come into contact with social
    engineering tactics as opposed to a site serving up an exploit.”

    Follow-up: Malware attempts that use Apple-focused social
    engineering are now in the wild. I just found one via Google Image
    search. See for yourself: What a Mac malware attack looks like.

    I found a perfect example yesterday, thanks to an alert from
    Silverlight developer Kevin Dente. He had typed in a simple set of
    search terms—Silverlight datagrid reorder columns—at Google.com, using the Google Chrome browser on Windows. You can follow along with what happened next in the screenshot gallery that accompanies this post.

    The first page of Google search results included several perfectly
    good links, but the sixth result was booby trapped. Clicking that link
    in Google Chrome popped up this dialog box:



    That led to a basic social engineering attack, but this one has a
    twist. It  was customized for Chrome. If you’ve ever seen a Google
    Chrome security warning, you’ll recognize the distinctive, blood-red
    background, which this malware author has duplicated very effectively.



    After the fake scan is complete, another dialog box comes up, warning
    that “Google Chrome recommends you to install proper software.”



    That’s terrible grammar, and this social-engineering attack is likely
    to fail with an English-speaking victim, who should be suspicious of
    the odd wording. But a user whose primary language is something other
    than English might well be fooled. And the malware author has
    anticipated the possibility that you might click Cancel in the dialog
    box. If you do, it still tries to download the malicious software.

    Each time I visited this page, the download I was offered was
    slightly different. My installed antivirus software (Microsoft Security
    Essentials) didn’t flag it as dangerous. When I submitted it to VirusTotal.com,
    only five of the 42 engines correctly identified it as a suspicious
    file. Less than 8 hours later, a second scan at VirusTotal was a little
    better. This time, eight engines confirmed that the file was suspicious.
    Microsoft’s virus definitions had been updated and a scan identified
    the rogue file as Win32/Defmid.



    Panda and Prevx identified the file as “Suspicious” and “Medium risk
    malware,” respectively. BitDefender, F-Secure, and GData flagged it as
    “Gen:Trojan.Heur.FU.quX@am@e97ci.” AntiVir detected it as
    “TR/Crypt.XPACK.Gen.” Kaspersky says it is
    “Trojan-Downloader.Win32.FraudLoad.zdul.” Every other antivirus engine,
    as of a few minutes ago, waved this suspicious executable right through.

    Meanwhile, back in the browser, Google Chrome’s warnings are
    completely generic. If you download the software it shows up in the
    Downloads folder looking perfectly innocent.

    Interestingly, this set of “poisoned” search terms also affected
    Bing, although the dangerous search result was on a different site,
    which didn’t show up until the fifth page of search results. And the
    download that it offered was, apparently, a completely different
    Trojan/scareware product. But the end result would have been the same,
    regardless of which browser I was using.

    This case study shows that malware authors are beginning to adapt to
    changing habits of PC users. There’s nothing inherently safer about
    alternative browsers—or even alternative operating systems, for that
    matter—and as users adapt, so do the bad guys.

    Be careful out there.
     
     
  8. Jordan_Tsafaridis
    Αν και αρχικώς τα συγκεκριμένα Vulnerabilities είχαν εντοπιστεί στις 5 Μαρτίου 2011, εντούτοις μια προσεκτική ανάλυση από την ομάδα ασφαλείας του FortiNet Security Blog, κατέδειξε την επικυνδυνότητά τους. Παρακάτω σας παραθέτω το πρωτότυπο κείμενο στην Αγγλική γλώσσα προς μελέτη.
     


    We are pretty busy these days with malicious samples on Android. You probably haven’t missed DroidDream (Android/DrdDream.A!tr) which trojaned several applications on the Android Market and several blog posts on the matter:

    Lookout explains how the malware was discovered, which applications it targets
    and whether you should be concerned or not. By the way, we thank them
    for sharing samples with us.
    AndroidPolice explains the malware uses the rageagainstthecage root exploit, and that
    malicious applications have been pulled out of the market
    Kaspersky reminds the dark sides of the Android Market and iPhone jailbreaking AegisLab explains the malware uses JNI and collects /proc information (the
    sample they analyze is slightly different from the one we refer to in
    this post).

    But there are still a few additional questions – that I intend to cover in this blog post.

    DroidDream does not use ONE vulnerability but TWO

    In the sample we analyzed, those files are located in the asset directory of the package:

    $ ls -al -rw-r--r-- 1 axelle users 15295 Jan 14 11:04 exploid
    -rw-r--r-- 1 axelle users 3868 Jan 14 11:04 profile
    -rw-r--r-- 1 axelle users 5392 Jan 14 11:04 rageagainstthecage
    -rw-r--r-- 1 axelle users 14076 Feb 15 14:59 sqlite.db
    drwxr-xr-x 4 axelle users 4096 Mar 2 11:04 www


    exploid corresponds to this local root exploit, and it is tried in case rageagainstthecage
    does not work. The idea behind rageagainstthecage create many
    processes, reach the maximum limit of user processes, so that the next
    time the adbd process is run it cannot surrender its root permissions.
    Both files are local root privilege escalation exploits. Below, the logs
    show exploid was called but failed on my android emulator:

    W/System.err( 246): java.io.IOException: Error running exec(). Commands: [/data/data/com.droiddream.bowlingtime/files/exploid,
    /dev/block/mtdblock1, yaffs2] Working Directory: null Environment: null
    D/AudioSink( 31): bufferCount (4) is too small and increased to 12
    W/MediaPlayer( 240): info/warning (1, 44)
    W/System.err( 246): at java.lang.ProcessManager.exec(ProcessManager.java:196)
    W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:225)
    W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:313)
    W/System.err( 246): at java.lang.Runtime.exec(Runtime.java:246)
    W/System.err( 246): at com.android.root.udevRoot.runExploid(udevRoot.java:134)
    W/System.err( 246): at com.android.root.udevRoot.go4root(udevRoot.java:230)
    W/System.err( 246): at com.android.root.Setting.onCreate(Setting.java:265)


    profile is a shell – we will talk about this one later.
    sqlite.db actually isn’t a SQLite database but an Android package named
    com.android.providers.downloadsmanager the malware will install on the
    infected device. Finally the www directory contains the real assets
    (images) used by the real foreground application (e.g bowling game).

    DroidDream posts the victim’s IMEI, IMSI etc – but no need to root a phone to do that

    One of the first things the malware does is post the phone’s IMEI,
    IMSI, Android version to a remote website whose URL is XOR encrypted.
    The key is hard-coded in another class, named Setting.class. A little
    bit of Java decompiling and copy/paste in a quick n’ dirty standalone
    program, and we decrypt the URL:





    The information is posted (HTTP POST) using the XML format:

    <?xml version="1.0" encoding="UTF-8"?> <Request>
    <Protocol>1.0</Protocol>
    <Command>0</Command>
    <ClientInfo>
    <Partner>502</Partner>
    <ProductId>10011</ProductId>
    <IMEI>YOUR IMEI</IMEI>
    <IMSI>YOUR IMSI</IMSI>
    <Modle>YOUR DEVICE SDK</Modle>
    </ClientInfo>
    </Request>


    Posting the IMEI, IMSI etc is not the real goal of the malware, since
    you do not need to root the phone for that, but only the
    READ_PHONE_STATE permission.

    A r00t shell – that’s awesome (from a malware author’s perspective! )

    It seems that what the malware author really wanted to install is the
    profile binary (see above, in the assets directory). Once the phone is
    rooted, the malware copies profile to /system/bin/profile and sets root
    permissions to the file:

    chown 0.0 /system/bin/profile chown root.root /system/bin/profile
    chmod 6755 /system/bin/profile


    Actually, the /system/bin/profile file also acts as an r00ted
    indicator: if the file exists, the phone has been rooted, if not, the
    malware tries to root the phone. So, as a quick hack, some developers
    suggest to create a dummy /system/bin/profile on your phone and be
    immune to the malware (more exactly the malware won’t be able to
    operate).


     
    A quick analysis of profile with a disassembler shows this executable
    merely does a setgid, then a setuid, and finally executes (excv) a
    shell. The malware author installed a root shell on the infected device.
    But so far, this shell is not used remotely.
     
    To me, it looks more like the work of a (dark) hacker than what
    cyber-criminals usually do. Unless the next step is to download a
    malware upgrade (via the downloads manager package) and monetize this
    root shell…

    Thanks to David Maciejak for his help on Android vulnerabilities.

    – the Crypto Girl

     
     

    Author bio:
    Axelle Apvrille's initial field of expertise is cryptology, security
    protocols and OS. She is a senior antivirus analyst and researcher for
    Fortinet, where she more specifically looks into mobile malware.
    Ελπίζω ότι θα το βρείτε ιδιαίτερα χρήσιμο.
     
     
  9. Jordan_Tsafaridis
    Ένα νέο πρόβλημα δημοσιεύτηκε στην ιστοσελίδα Vupen Security (http://www.vupen.com/english/advisories/2011/1162), και αφορά ένα σημαντικό κενό ασφάλειας το οποίο ανιχνεύθηκε στα προϊόντα της CheckPoint. Το αυθεντικό κείμενο παρουσιάζεται παρακάτω :
     

    VUPEN ID

    VUPEN/ADV-2011-1162


    CVE ID


    CVE-2011-1827

     


    CWE ID

    Available in Customer Area



    CVSS V2

    Available in Customer Area


    Rated as


    Critical 



    Impact

    Available in Customer Area




    Authentication Level

    Available in Customer Area




    Access Vector

    Available in Customer Area


    Release Date

    2011-05-03


    Share

















    Technical Description
    A vulnerability has been
    identified in Check Point products, which could be exploited by remote
    attackers to compromise a vulnerable system. This issue is caused by an
    error in the SSL Network Extender (SNX), SecureWorkSpace and Endpoint
    Security On-Demand application when deployed through a browser, which
    could allow attackers to execute arbitrary code by tricking a user into
    visiting a specially crafted web page.
     




    Affected Products Check Point SecurePlatform

    Check Point IPSO6

    Check Point Connectra

    Check Point VSX
     



    Solution 
    Apply patches :
     
    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410
     



    References  
     
    http://www.vupen.com/english/advisories/2011/1162
    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62410
     



    Credits   
     
    Vulnerability reported by Johannes Greil (SEC Consult).
     



    Changelog   
     
    2011-05-03 : Initial release

     
  10. Jordan_Tsafaridis
    1. Εισαγωγή


     

    Ορισμένες φορές η επίλυση προβλημάτων τα οποία οφείλονται σε λάθος προγραμματισμό των publishing rules μπορεί να εξελεχθεί σε μια επίπονη και απαιτητική διαδικασία. Ο κύριος λόγος είναι ότι υπάρχει μια λεπτή διαχωριστική γραμμή μεταξύ του published server
    και του firewall (στην συγκεκριμένη περίπτωση του ISA/TMG Server). Συνεπώς το ερώτημα είναι σε πιο σημείο έχει διαραγεί η επικοινωνία? Μήπως ο ISA/TMG Server δεν επιτρέπει την σύνδεση από έξω (outside) ή μήπως ο published
    server είναι αυτός ο οποίος δεν απαντά στα αιτήματα τα οποία αποστέλλει ο ISA/TMG Server?


     
    Στο σημείο αυτό θα πρέπει να αναφέρω ότι σημαντική βοήθεια στο να κατανοήσουμε πως λειτουργούν τα πρωτόκολα προσφέρει η σειρά των άρθρων τουν Jim Harrison σχετικά με το RPC over HTTP καθώς επίσης συμβάλει και στην ανάπτυξη μιας μεθοδολογίας επίλυσης προβλημάτων τα οποία είναι δυνατόν να προκύψουν όταν υλοποιούμε το publishing Outlook Anywhere διαμέσου του ISA Server 2006/TMG 2010.

     


    2. Γενικές Συστάσεις


     

    Η κύρια σύσταση είναι η χρήση των official white paper στα οποία παρουσιάζεται μια βήμα προς βήμα configuration μέθοδος για το publishing του OWA 2007 διαμέσου του ISA Server 2006. Αντιστοίχως για τον TMG 2010 το official white paper μπορείτε να το κατεβάσετε κάνοντας κλικ εδώ.


     

    2.1. Επιλογές Authentication


     

    Όταν υλοποιούμε το publishing του OWA 2007/2010 διαμέσου του ISA Server 2006/TMG 2010 έχουμε δύο επιλογές για την ρύθμιση του FBA (Forms Based Authentication):

      

    ·         Επιλογή 1 (Η πιο συνήθης): Απενεργοποιούμε το Forms Base Authentication στο Exchange OWA side και ενεργοποιούμε το FBA στον ISA Server 2006/TMG 2010 Web Listener.

     

     

    Εικόνα 1– Authentication properties.

     


    Σημείωση : Όταν έχουμε  επιλεγμένο το Basic Authentication στο OWA όπως αυτό παρουσιάζεται στην παραπάνω εικόνα,
    θα πρέπει να διασφαλίσουμε ότι στο Authentication Delegation tab στον ISA Server 2006/TMG 2010, το
    OWA Publishing rule έχει επιλεγμένο το Basic Authentication.

     

    ·         Επιλογή 2 (Σπάνια Χρησιμοποιείται): Δεν εφαρμόζουμε το authenticate στον ISA Server 2006/TMG 2010 αλλά χρησιμοποιούμε το Forms Based Authentication στον Exchange Server:

     

     

    Εικόνα 2 – Η δεύτερη επιλογή για το authentication.

     

     

    2.2. Θέματα τα οποία αφορούν τα Certificates

     

    Όταν υλοποιούμε το publishing του OWA 2007/2010 μπορούμε να χρησιμοποιήσουμε το SAN Certificate στο
    Exchange OWA side. Εντούτοις το FQDN name το οποίο ενφανίζεται στο To Tab στον ISA Server 2006TMG 2010 OWA Publishing rule είναι υποχρεωτικό να ταυτίζεται με το first name στο SAN Certificate όπως ακριβώς απεικονίζεται στην εικόνα παρακάτω :

     

     

    Εικόνα 3 – Λεμπτομέριες του SAN Certificate. 

     





     


     

    3. Θέματα Troubleshooting - Τα πιο πιθανά σενάρια (Το κείμενο είναι στην Αγγλική γλώσσα διότι τα θέματα αυτά έχουν συλλεχθεί από διάφορα forums)


     

    3.1.
    I can access the OWA page, authenticate using Forms Base but after the
    first authentication I receive another page asking for authentication
    again.

     

    Make
    sure that you have forms base authentication enabled only on ISA Server
    or only on the Exchange. Review the session 2.1 for more information.

     

    3.2. After authenticate on the OWA Forms Base Authentication I receive the error: Target principal name is incorrect.

     

    Make sure that of the following:

    ·         The name on the certificate that is installed on the Exchange Server matches with the name on the To tab for the OWA Publishing Rule on ISA Server. Review session 2.3 for more information.

    ·         The Exchange Server name (usually the CAS Server) is correct on the To tab on the OWA Publishing Rule on ISA Server.

    ·         ISA Server 2006 can correctly resolve this FQDN for the correct IP.

     

    3.3. I cannot even access the OWA Page, when I type the address https://mail.contoso.com on IE I receive the error: 403 Access Forbidden.

     

    When you create an OWA 2007 Publishing Rule only the following paths are allowed by default:

     

     

    Εικόνα 4 – Default paths for OWA 2007.

     

    When you type https://mail.contoso.com
    without use /owa or the other paths that are allowed by this rule it is
    expected to receive the 403 since ISA Server is restricting the paths
    for security purpose.

     

    3.4. I’m typing the address https://mail.contoso.com/owa on Internet Explorer, I can reach the FBA page, authenticate but after that I’m receiving the error: 404 Not Found.

     

    Make sure that the ISA Server 2006 can reach the Exchange Server that it is using on the To tab. Try to validate using the following methods:

    ·         From
    the ISA Server ping the FQDN name of the Exchange Server that is in use
    on the OWA Publishing to make sure that is resolving to the correct IP.

    ·         Telnet
    from ISA Server to the FQDN of the Exchange Server and use the port
    that appears on the Bridging tab as show below and see if you receive an
    answer (telnet exc2007.contoso.msft 443):

     



    Εικόνα 5 – Bridging Tab.

     

    ·         If
    all tests succeed then enable logging on ISA Server (ISA Console /
    Monitoring / Logging) and create a filter where the source is the
    External network. Try to reproduce the problem and check if you see the
    error below:

     

     

    Εικόνα 6 – Failed connection attempt to the Exchange Server (error 10060).

     

    The error 10060 showed above means that the connection timed out. Usually this error means:

    ·         Connectivity issue between ISA Server and the Exchange Server that is being used by this publishing rule.

    ·         The ISA Server is sending the package by for some reason the Exchange Server is not replying in appropriate manner.

     

    Review the following:

    ·         There
    is any other firewall in between ISA Server and the Exchange Server? If
    it does, can we bypass that? If we can’t bypass, make sure that the
    ports are allowed in both ways. Use PortQuery to test that from the ISA to the Exchange Server.

    ·         A netmon trace on the internal NIC of the ISA and on the Exchange Server might show what is happening.

    ·         The IIS Logs on the OWA also will help to see if the traffic is hitting the OWA Server.

     

     

    3.5. I’m typing the address https://mail.contoso.com/owa on Internet Explorer, I can reach the FBA page, authenticate but after that I’m receiving the error: 10061 Connection Refused.

     

    The error code 10061 means: A connection was refused by the destination host.
    This error means that ISA Server tried to contact the published server
    (in this case the Exchange Server) and this server refused the request
    for some reason.

     

    This
    usually happens because ISA Server tried to contact the published
    server on a port that is not allowed on the destination server. Review
    the Bridging tab on the OWA Publishing rule to make sure that this port matches with the port that OWA is using on the IIS web site:

     



    Εικόνα 7 – IIS properties matching with the Bridging tab.

     

    If you also use the ISA Server Monitoring Logging you will see the error below:

     

     

    Εικόνα 8 – Failed connection attempt to the Exchange Server (error 10061).

     

    For more information about the error code see the ISA Server 2006 Logging Fields and Values article. For TMG 2010 the link is here.


     

    3.6.
    I can authenticate on the FBA page, I can see my OWA inbox but I’m
    unable to create a new message and the buttons on the toolbar doesn’t
    work. Everything works fine internally (bypassing the ISA Server).

     

    Don’t
    set your mind to think that if works internally and externally doesn’t
    then the issue is on the ISA Server. There are some 3rd Party ISAPI filters (for example the one mentioned on KB 924228
    ) that could be installed on the Exchange Server (Backend, FrontEnd,
    CAS or Mailbox Server) that can cause this behavior when the traffic
    crosses the ISA Server. A more in depth investigation will be necessary
    to determine the root cause in this situation.

     

     

    4. Συμπέρασμα

     

    Όπως αντιλαμβάνεστε, η προσπάθεια στο άρθρο αυτό είναι να παρουσιαστούν τα πλέον συνήθη προβλήματα τα οποία μπορούν να προκύψουν όταν υλοποιούμε το OWA publishing διαμέσου του ISA Server 2006/TMG 2010. Εάν παρόλα αυτά, τα προβλήματα συνεχίζονται καλό είναι σε πρώτη φάση να χρησιμοποιήσετε το ISA Server BPA
    και TMG 2010 Server PBA αντίστοιχα, και να ελένξουμε σχοαλστικά μήπως υπάρχει κάποια πρόταση για την επίλυση του προβλήματος και εν συνεχεία να ζητήσουμε την βοήθεια του Microsoft ISA/TMG Support.and check if there is any recommendation on that.

  11. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας σε αυτό το άρθρο θα παρουσιάσουμε εκείνα τα τεχνικά χαρακτηριστικά του Forefront TMG 2010, τα οποία μας επιτρέπουν να καθορίζουμε και να βελτιώνουμε το endpoint protection strategy ενός οργανισμού και να εκτελούμε διεργασίες όπως URL filtering, malware inspection,
    intrusion detection/prevention, και HTTPS inspection.
    Εισαγωγή
    Ο Forefront Threat Management Gateway (TMG) 2010 αποτελεί έναν integrated edge security gateway ο οποίος λειτουργεί ως ένα enterprise-class firewall, caching proxy (forward and reverse), και VPN
    (remote access and site-to-site) server. Μπορεί να εγκατασταθεί με όλα αυτά τα χαρακτηριστικά ή με κάποιο υποσύνολο αυτών. Όταν εγκατασταθεί ως forward proxy
    server, ο TMG firewall μπορεί να συμβάλλει στην θεαματική βελτίωση της ασφάλειας ενός οργανισμού - (overall security posture) - εκτελώντας εργασίες όπως advanced network και application
    layer traffic inspection, καθώς επίσης θέτει σε εφαρμογή διαδικασίες όπως το enforcing strong user και group-based
    authentication. Στο συγκεκριμένο άρθρο θα ασχοληθούμε με τα URL filtering,
    malware inspection, intrusion detection/prevention, και HTTPS inspection
    και πως αυτά τα χαρακτηριστικά μπορούν να βελτιώσουν και να συμπληρώσουν αντίστοιχα μια υπάρχουσα endpoint protection strategy.

    URL Filtering
    Με τις ενσωματωμένες δυνατότητες URL filtering, οι TMG
    firewall administrators έχουν τώρα την δυνατότητα να εφαρμόζουν reputation-based
    access controls στο web-based traffic. Το URL filtering αποτελεί την πρώτη γραμμή άμυνας σε ένα μοντέρνο και ασφαλές web gateway, και συνεπώς έχοντας πρόσβαση σε υπηρεσίες reputation
    για τα επισκεπτόμενα web sites ο administrator μπορεί πλέον να προλάβει και να μην επιτρέψει στους χρήστες να έχουν πρόσβαση σε ιστοσελίδες/ιστότοπους οι οποίοι έχουν διαπιστωμένα κακόβουλο περιεχόμενο. Το Web site categorization διαχειρίζεται από την υπηρεσία Microsoft Reputation Services (MRS). Το MRS αποτελεί μια cloud-based categorization
    service όπου ο TMG firewall την αξιοποιεί για να καθορίσει σε ποια κατηγορία το συγκεκριμένο web site ανήκει. Αμέσως μετά την κατηγοριοποίηση του συγκεκριμένου site,
    ένα firewall policy processing θα καθορίσει εάν το αίτημα για πρόσβαση θα επιτραπεί ή δεν θα επιτραπεί.

    Για να ενεργοποιήσουμε το URL filtering, κάνουμε highlight το Web Access Policy node και στο navigation tree κάνουμε κλικ στο Configure Web Access Policy στο Tasks
    pane. Το Web Access Policy wizard θα μας οδηγήσει βήμα προς βήμα για να ενεργοποιήσουμε το URL filtering καθώς επίσης και να παραμετροποιήσουμε μια προκαθορισμένη web access policy χρησιμοποιώντας συνιστόμενα URL categories.


    Εικόνα 1

    Επιπροσθέτως, το Web Access Policy wizard θα ενεργοποιήσει και θα παραμετροποιήσει επίσης το malware inspection, το HTTPS inspection, και το content caching αντίστοιχα.

    Malware Inspection
    Με δεδομένο το ότι η λύση του URL filtering είναι 100% αποτελεσματική - (Βεβαίως καλό είναι να έχουμε υπόψην μας ότι είναι αδύνατον να κατηγοριοποιήσουμε όλες τις ιστοσελίδες του διαδικτύου) - είναι αναπόφευκτο ότι σε κάποια χρονική στιγμή οι χρήστες θα επισκεφθούν κάποια ιστοσελίδα η οποία θα περιέχει κακόβουλο περιεχόμενο. Για να μπορέσει να δώσει λύση και σε αυτές τις περιπτώσεις, ο TMG περιλαμβάνει μια gateway-integrated scanning engine για να προλαβαίνει και απαγορεύει virus και malicious software downloads. Η συγκεκριμένη μηχανή σάρωσης (scanning engine) ηοποία περιλαμβάνεται στον TMG
    είναι η Microsoft anti-malware scanning engine η οποία περιλαμβάνεται σε μια πληθώρα τεχνολογιών προστασίας Forefront όπως ο Forefront Protection for
    Exchange (FPE), ο Forefront Protection for SharePoint (FPSP), και ο
    Forefront Endpoint Protection (FEP), για να αναφέρουμε μερικές από αυτές. Είναι επίσης το ίδιο scanning το οποίο χρησιμοποιείται στα Microsoft Security Essentials (MSE). Η μηχανή σάρωσης αυτή είναι γρήγορη, ακριβής και παράγει ελάχιστα false positives.

    Για να ενεργοποιήσουμε το virus και το malicious software scanning, κάνουμε highlight στο Web Access Policy node στο navigation tree, και εν συνεχεία κάνουμε κλικ στο Configure Malware Inspection στο Tasks pane, και τέλος επιλέγουμε το Enable Malware Inspection.


    Εικόνα 2

    Το Virus και το malware scanning είναι πλήρως παραμετροποιήσημα στον TMG, παρέχοντας στον administrator την δυνατότητα του granular control πάνω σε κάθε τύπο περιεχομένου το οποίο πρόκειται να σαρωθεί αλλά και την μέθοδο/τρόπο με τον οποίο το περιεχόμενο αυτό θα σαρωθεί. Στο σημείο αυτό ο administrator
    μπορεί να παραμετροποιήσει πιθανά exemptions στο scanning policy τα οποία διακρίνονται βάση του source ή του destination, και να καθορίσει επίσης πότε τα signature updates θα παραλαμβάνονται καθώς πότε και με πιο τρόπο θα εφαρμόζονται.

    Σημείωση :
    Το URL filtering και το malware scanning απαιτούν το Web Protection Service subscription license. Μια άδεια ενεργοποιεί και τα δύο αυτά χαρακτηριστικά. Περισσότερες πληροφορίες σχετικά με το θέμα αυτό μπορείτε να βρείτε σε αυτό το link.

    Network Inspection System
    Οι Malicious software authors πολύ συχά θα προσπαθήσουν να ανακαλύψουν vulnerabilities τα οποία μπορεί να υπάρχουν στα Microsoft
    operating systems, applications, και στα networking protocols. Για να δώσει λύση και σε αυτά τα ζητήματα προστασίας ο TMG firewall περιλαμβάνει το Network Inspection System (NIS). Το NIS
    αποτελεί ένα καινούριο vulnerability-based intrusion detection και prevention σύστημα το οποίο εφαρμόζει διαδικασίες ελέγχου low-level protocol inspection έτσι ώστε να είναι σε θέση να αναγνωρίσει και να απαγορεύσει επιθέσεις οι οποίες σχετίζονται με αυτά τα vulnerabilities. Τα Signatures αναπτύσσονται από το Microsoft Malware Protection Center (MMPC) και κυκλοφορούν ταυτόχρονα μαζί μετα security updates ή σε άμεση απάντηση σε zero-day vulnerabilities. Όταν το NIS ενεργοποιηθεί προλαμβάνει αυτά τα vulnerabilities από το να αξιοποιηθούν από απόσταση (exploited
    remotely) και  μειώνει δραματικά το παράθυρο έκθεσης μέχρι να κυκλοφορήσει το αντίστοιχο Patch διόρθωσης.

    Για να ενεργοποιήσουμε το NIS, κάνουμε highlight στο Intrusion Prevention System node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure Properties στο Tasks pane, όπου εκεί επιλέγουμε το Enable NIS.


    Εικόνα 3

    Το NIS επιθεωρεί την κυκλοφορία στο δίκτυο (network traffic) και μπορεί να προσδιορίσει πότε ένα πρωτόκολλο που δεν είναι σύμφωνο με τα πρότυπα. Αυτά τα protocol anomalies μπορούν είτε να επιτρέπονται είτε να απαγορεύονται. Επιπροσθέτως το NIS μπορεί να παραμετροποιηθεί έτσι ώστε να μην ελέγχει επιλεγμένες ιστοσελίδες - (exempt specific
    trusted sites from inspection) - εφ'οσον αυτό απαιτείται.

    HTTPS Inspection
    Το HTTPS communication αποτελεί μια ειδικού χαρακτήρα πρόκληση για αρκετά firewalls. Συχνά αναφέρεται και ως “universal
    firewall bypass protocol”, το HTTPS κρυπτογραφεί application layer data με αποτέλεσμα ακόμη και τα πιο προηγμένα application layer firewalls να μην μπορούν να κάνουν έλεγχο στις επικοινωνίες αυτής της μορφής. Για αρκετα χρόνια οι virus και malware authors
    χρησιμοποιούσαν το HTTPS ως μέθοδο για την αποστολή malicious ή infected payloads διαμέσου των
    secure web gateways χωρίς να γίνονται αντιληπτοί. Κακόβουλοι χρήστες έχουν χρησιμοποιήσει το HTTPS ως κανάλι για να παρακάμψουν τον έλεγχο της πρόσβασης από το proxy
    avoidance software.

    Το HTTPS inspection κλείνει οριστικά αυτό το loophole. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall αντιγράφει το originally requested SSL certificate και παρέχει στο χρήστη ένα αντίγραφο. Ο TMG firewall μπορεί τώρα να κάνει τερματισμό στο SSL
    session στο επίπεδο του Internal network interface να προχωρήσει σε αποκωδικοποίηση και έλεγχο όλου του outbound HTTPS communication. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall έχει πρόσβαση στο αποκωδικοποιημένο application layer data γεγονός το οποίο έχει αρκετά θαρικά χαρακτηριστικά. Ο TMG firewall έχει τώρα δυνατότητα πρόσβασης στο full request
    path, και όχι μόνον στην ΙP address του συγκεκριμένου site. Με αυτήν την επιπρόσθετη πληροφορία μπορεί νε εφαρμόσει με περισσότερη ακρίβεια το URL filtering. Επίσης ο TMG
    firewall μπορεί τώρα να εφαρμόσει μια HTTP policy βάση της οποίας γίνεται έλεγχος στο περιεχόμενο των viruses και του κακόβουλου λογισμικού.

    Για να ενεργοποιήσουμε το HTTPS inspection, κάνουμε highlight στο Web Access Policy node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure HTTPS Inspection στο Tasks pane. Εκεί επιλέγουμε το Enable HTTPS Inspection καθώς επίσης και το Inspect traffic and validate site certificates.


    Εικόνα 4

    Το HTTPS inspection απαιτεί ένα server certificate να είναι εγκατεστημένο και παραμετροποιημένο στον TMG firewall. Μπορούμε να δημιουργήσουμε ένα self-signed certificate επιλέγοντας το Use Forefront TMG to generate a certificate και αμέσως μετά κάνουμε κλικ στο Generate… button. Εναλλακτικά μπορούμε να εισάγουμε ένα certificate από ένα υπάρχον εσωτερικό PKI επιλέγοντας το Import a certificate και κάνοντας κλικ αμέσως μετά στο Import… button.

    Από την στιγμή κατά την οποία θα ενεργοποιηθεί, ο TMG administrator μπορεί να εξαιρεί ορισμένες αιτήσεις, καθορίζοντας specifying source και destination exceptions. Σε συνδυασμό δε με το URL
    filtering, τα destination exceptions μπορούν να είναι URL categories ή URL category
    sets (π.χ. Financial or Health). Επιπροσθέτως Certificate validation options και
    client notification μπορούν επίσης να καθοριστούν.

    Συμπέρασμα
    Όταν εγκατασταθεί ως secure web gateway, ο Forefront
    Threat Management Gateway (TMG) 2010 firewall αποτελεί ένα multi-layered
    perimeter defense σύστημα το οποίο παρέχει ένα υψηλό επίπεδο προστασίας στους clients. Το URL filtering διασφαλίζει ότι οι clients δεν μπορούν να συνδεθούν σε όλα τα γνωστά κακόβουλα sites.Το ενσωματωμένο virus και malicious software scanning
    προλαμβάνει τους χρήστες από το να κατεβάσουν infected αρχεία, και το Network
    Inspection System προλαμβάνει επιθέσιες σε software vulnerabilities οποιουδήποτε Microsoft operating system ή application. Το HTTPS inspection
    αντίστοιχα βελτιώνει θεαματικά όλους τους παραπάνω μηχανισμούς προστασίας εφαρμόζοντας έλεγχο σε όλο το outbound encrypted communication. Ολοκληρώνοντας μιας και όλοι αυτοί οι προηγμένοι μηχανισμοί προστασίας εφαρμόζονται στο gateway και παρέχουν προστασία όχι μόνον στους managed clients, αλλά και στους στους non-managed clients επίσης.
    Ελπίζω ότι το συγκεκριμένο άρθρο θα το βείτε ιδιαίτερα χρήσιμο. 
  12. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας μέσα από την αναζήτηση για δημοσίευση θεματογραφίας εξαιρετικού ενδιαφέροντος η οποία αφορά τον Microsoft Forefront TMG 2010 και την πληθώρα των δυνατοτήτων, παρουσιάζω παρακάτω τον τρόπο υλοποίησης και πιστοποίησης της διαλειτουργικότητας μεταξύ του Juniper SRX 210H και του security gateway Microsoft Forefront TMG 2010, με άλλα λόγια σκοπός μας είναι η δημιουργία ενός secure tunnel. Συγγραφέας του συγκεκριμένου άρθρου είναι o Axel Dittmann. Μετά από την δημιουργία/ρύθμιση του route-based VPN στο Juniper SRX, προχωρούμε εν συνεχεία διαμέσου του VPN-Wizard στον Microsoft Firewall. Λαμβάνοντας υπόψην ότι θα πρέπει να γίνουν ορισμένες αλλαγές (modifications) στα Microsoft standard
    IKE και IPSec Proposals τα οποία παρέχονται διαμέσου του wizard, 
    τα πάντα λειτούργησαν άψογα με αποτέλεσμα το ping από το ένα site στο άλλο λειτούργησε άψογα. Το setup είναι το παρακάτω :

    Όπως γίνεται άμεσα αντιληπτό με μία γρήγορη ματιά στις παρακάτω εικόνες από τον VPN-Wizard η εγκατάσταση είναι σχετικά απλή μιας και οι συγκεκριμένες εικόνες μικούν από μόνες τους :
    Βήμα1ο : VPN
    Βήμα 2ο: Υλοποίηση remote site VPN
    Βήμα 3ο: Εκκίνηση του wizard
    Βήμα 4ο : Ονομάζοντας το VPN Βήμα 5ο: tunnel endpoints
    Βήμα 6ο: shared secret Βήμα 7ο: Τα tunnel endpoints βρίσκονται σε προστατευόμενο δίκτυο – Τα διαγράφουμε Βήμα 8ο: Εν συνεχεία εισάγουμε τα προστατευόμενα δίκτυα Βήμα 9ο: Αμέσως εμφανίζεται ένα warning το οποίο μας ενημερώνει ότι ορισμένα πράγματα δεν λειτουργούν Βήμα 10ο: Δημιουργία network rule Βήμα 11ο: Δημιουργία access rule Βήμα 12ο: Ολοκλήρωση  
    Τώρα θα ασχοληθούμε με το πιο ενδιαφέρον μέρος της δημιουργίας του συγκεκριμένου VPN. Ανοίγουμε προς επεξεργασία το πρόσφατα δημιουργημένο VPN
    remote sites και επικεντρώνουμε το ενδιαφέρον μας στα default proposal settings:
    (Δεξί κλικ στο remote site, Επιλογή του <Connection> και του <IPSec Settings …>)
    Τα default settings του IKE Phase 1 Τα default settings του Phase 2  
    Προχωρούμε σε αλλαγές των settings έτσι ώστε να είμαστε συμβατοί με το σύστημα της Juniper. Απλά για να είμαστε σίγουροι ότι το σύστημα SRX είναι σε θέση να χρησιμοποιεί σωστά και να επικοινωνεί με τα συγκεκριμένα proposals --- Στο σημείο αυτό η ασφάλεια του υποκατασκευή δικτύου δεν είναι το ζητούμενο:
     
    Συνεπώς χρησιμοποιούμε στο Phase 1: Εncryption = 3DES, Αuthentication = SHA1, DH-Group =  group2 and lifetime 28800
    Στο Phase 2: Εncryption = 3DES, Αuthentication = SHA1, no pfs, rekey every 3600 seconds.
    Αμέσως μετά την εφαρμογή του νέου configuration το tunnel δεν στάθηκε δυνατόν να ξεκινήσει. Με προσεκτική παρατήρηση βρίσκουμε το παρακάτω μήνυμα μέσα στα SRX log:
    172.16.100.180:500
    (Responder) <-> 172.16.100.183:500 { 8f4cd363 13dcf3af - 9f6ff605
    4d145fab [0] / 0x90b59c54 } Info; Received notify err = No proposal
    chosen (14) to isakmp sa, delete it
    Εκ πρώτης όψεως το μήνυμα είναι λίγο παράξενο, αλλά με μια γρήγορη ματιά κάνοντας χρήση ενός packet analyzer μας δίνει την απάντηση:

    Ο Microsoft Forefront TMG 2010 μας παρέχει τα παλαιά credentials τα οποία εμπεριέχονται στην default value. Οι αλλαγές αυτές δεν έχουν καμία επίδραση στο VPN. Έτσι λοιπόν αυτό το οποίο πρέπει να κάνουμε στο σημείο αυτό είναι να επανεκκινήσουμε (restart) τα Forefront TMG services γεγονός το οποίο έχει σαν αποτέλεσμα την παροχή των σωστών credentials:

    Τελικά το VPN tunnel ανέβηκε :



    Όσον αφορά τον Juniper SRX VPN (route bases) το απαιτούμενι configuration είναι το εξής παρακάτω:
    IKE policy:
    [edit security ike]
    root# show
    proposal ikeproptmg {
        description toTMG;
        authentication-method pre-shared-keys;
        dh-group group2;
        authentication-algorithm sha1;
        encryption-algorithm 3des-cbc;
        lifetime-seconds 28800;
    }
    policy ikepoltmg {
        mode main;
        description PolicyToTMG;
        proposals ikeproptmg;
       
    pre-shared-key ascii-text
    "$9$Sivlv8-VYZUHX7UHqmF3SreKXNZGjf5zGU/Cu0IR";
    ##                                                                                                                                                             
    SECRET-DATA
    }
    gateway ikegatewaytmg {
        ike-policy ikepoltmg;
        address 172.16.100.183;
        external-interface ge-0/0/0;
    }
    IPSec Policy:
    [edit security ipsec]
    root# show
    proposal ipsecproptmg {
        description IPSEC_to_TMG;
        protocol esp;
        authentication-algorithm hmac-sha1-96;
        encryption-algorithm 3des-cbc;
        lifetime-seconds 3600;
    }
    policy ipsecpoltmg {
        description PolicyToTMG;
        proposals ipsecproptmg;
    }
    vpn vpntmg {
        bind-interface st0.0;
        ike {
            gateway ikegatewaytmg;
            proxy-identity {
                local 192.168.113.0/24;
                remote 192.168.13.0/24;
                service any;
            }
            ipsec-policy ipsecpoltmg;
        }
        establish-tunnels on-traffic;
    }
    Και το αποτέλεσμα:
    root> show security ike sa
    Index   Remote Address  State  Initiator cookie  Responder cookie  Mode
    12      172.16.100.183  UP     039708c225e6394e  e13125bff2db04af  Main
    root> show security ipsec sa
      Total active tunnels: 1
      ID    Gateway          Port  Algorithm       SPI      Life:sec/kb  Mon vsys
      <131073 172.16.100.183 500   ESP:3des/sha1   f2f8ab03 3562/ unlim   -   0
      >131073 172.16.100.183 500   ESP:3des/sha1   6cc8f853 3562/ unlim   -   0
    Το ping λειτούργησε σωστά φέρνοντας την σωστή απάντηση και συνεπώς το tunnel βρίσκεται σε λειτουργία.
    Ελπίζω ότι θα βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.

  13. Jordan_Tsafaridis
    Σκοπός αυτού του άρθρου είναι να παρουσιάσουμε εν συντομία το τρόπο με τον οποίο μπορούμε να διαχειριστούμε τον Forefront TMG κάνοντας χρήση VBScript καθώς επίσης πως μπορούμε να συλλέξουμε πληροφορίες διαμέσου της δυνατότητας υποστήριξης πρόσβασης "read only" PowerShell στον Forefront TMG.
    Ας ξεκινήσουμε

    Πρώτα απ'όλα θα πρέπει να σας εκμηστηρευτώ ότι σε καμία περίπτωση δεν είμαι ένας Scripting ή programming guru. Κατά την διάρκεια των φοιτητικών μου χρόνων ασχολήθηκα με προγραμματισμό σε γλώσσες όπως η Borland Turbo Pascal, η COBOL καθώς και η C++, αλλά ποτέ δεν ασχολήθηκα με τον προγραμματισμό επαγγελματικά. Παρόλα αυτά νομίζω ότι σε αυτό το άρθρο θα λάβετε αρκετή πληροφορία η οποία θα σας φανεί ιδιαίτερα χρήσιμη έτσι ώστε να καταλάβετε την δύναμη του VBScript και του PowerShell στον Forefront TMG, έτσι ώστε να είναι εύκολο για τον καθέναν μας να αναπτύξει τα δικά του scripts. Επιπροσθέτως θα ρίξουμε μια ματιά στο Forefront TMG SDK, στο οποίο περιλαμβάνεται και μια σειρά από ιδιαιτέρως χρήσιμα preconfigured scripts τα οποία έχουν σαν σκοπό να αυτοματοποιήσουν την εργασία της διαχείρισης του.
    O Forefront TMG ως COM
    To COM χρησιμοποιείται από τις τεχνολογίες scripting όπως η VBScript για την απόκτηση πρόσβασης στον Forefront TMG με την μέθοδο του προγραμματισμού. Σύμφωνα με την Wikipedia
    ο όρος COM σημαίνει Component Object Model. Το Component Object Model (COM)
    αποτελεί ένα πρότυπο binary-interface το οποίο σχετίζεται άμεσα με το software componentry και ανακοινώθηκε για πρώτη φορά από την Microsoft το 1993. Χρησιμοποιείται για την ενεργοποίηση του interprocess communication και του
    dynamic object creation σε ένα μεγάλο εύρος γλωσσών προγραμματισμού. Συχνά δε ο όρος COM χρησιμοποιείται στην βιομηχανία ανάπτυξης λογισμικού γύρω από τα προϊόντα της Microsoft ο οποίος λειτουργεί ως ομπρέλλα κάτω από την οποία περιλαμβάνονται και τα OLE, OLE Automation, ActiveX,
    COM+ και οι DCOM technologies. Το COM αποτελεί μια interface technology η οποία καθορίζεται και εφαρμόζεται/αναπτύσεται ως πρότυπο μόνον στα Microsoft Windows και στο Apple's Core
    Foundation 1.3 και νεότερες εκδόσεις. Σε κάποιες δε εφαρμογές το COM αντικαταστάθηκε σε κάποιο βαθμό από το Microsoft .NET framework, όπως επίσης και η υποστήριξη των Web Services διαμέσου του Communication Foundation
    (WCF). Εντούτοις, τα COM objects μπορούν να χρησιμοποιηθούν με όλες τις .NET languages διαμέσου του .NET COM Interoperability.

    Ο Forefront TMG COM έχει ένα root object το οποίο ονομάζεται
    FPC.Root. Αυτό το root object διαχειρίζεται το Enterprise object το οποίο ταυτοποιείται/αναγνωρίζεται ως FPCEnterprise και στους Arrays ως FPCArrays.FPC. Το Root αποτελεί το root του administration COM object hierarchy, και παρέχει πρόσβαση κάνοντας χρήση προγραμματισμού - (programmatic access) -  σε άλλα FPC objects. Κάθε υπολογιστικό σύστημα Forefront TMG σχετίζεται - (associated) - με έναν μοναδικό array ως ένα από αρκετά fpcServer objects μέσα σε μία συλλογή από fpcServers.

    Άλλα objects τα οποία διαχειρίζονται από αυτό το Enterprise object και από το Array object είναι τα ακόλουθα:


    Admin Security object (χρησιμοποιείται από το Enterprise και από το Array)

    Extensions object (χρησιμοποιείται από το Enterprise και από το Array)

    Policy Rule object (χρησιμοποιείται από το Enterprise και από το Array)

    Server object (χρησιμοποιείται από το Array)

    Rule Elements object (χρησιμοποιείται από το Enterprise και από το Array)

    Cache object (χρησιμοποιείται από το Array)

    Network Configuration object (χρησιμοποιείται από το Enterprise και από το Array)

    Array Policy object (χρησιμοποιείται από το Array)

    IP object (χρησιμοποιείται από το Array)
    Based on this knowledge you should have a better
    understanding about the VBScript script examples which you can found on
    several Internet websites and in the Forefront TMG SDK. An understanding
    of COM objects is also helpful when you use the PowerShell to query
    Forefront TMG objects. Forefront TMG has no built-in PowerShell CMDLets
    and will use COM.

    Forefront TMG SDK
    Αρχικά θα ξεκινήσουμε με το Forefront TMG SDK, το οποίο μπορούμε να το κατεβάσουμε δωρεάν από το Microsoft website. Θα βρείτε τον διαδικτυακό σύνδεσμο (link) για να κατεβάσετε αυτό το SDK στο τέλος αυτού του άρθρου. Το Forefront TMG SDK
    έρχεται με ένα πάρα πολύ χρήσιμο documentation στο οποίο περιγράφεται εκτενώς  ο προγραμματισμός του Forefront TMG
    καθώς επίσης πληροφορίες ανώτερου επιπέδου σχετικά με μία σειρά από εσωτερικά Forefront TMG
    concepts. Το Forefront TMG SDK περιλαμβάνει και μια σειρά από παραδείγματα scripting από τα οποία θα χρησιμοποιήσω ορισμένα κομμάτια κώδικα.
     


    Εικόνα 1: Forefront TMG SDK – Παραδείγματα Script
     

    Ένα από τα παραδείγματα scripts μας επιτρέπει να προσθέσουμε Forefront
    TMG Administrators στο role based access model του Forefront TMG, όμως μόνον στο Monitor group. Εδώ επιτρέψτε μου ότι θα αποτελούσε μια ευχάριστη άσκηση ο εμπλουτισμός του συγκεκριμένου script έτσι ώστε να προσθέσετε τον Αdministrator και σε άλλα Forefront TMG roles.
     


    Εικόνα 2: Προσθήκη χρήστη στο Monitor role group του Forefront TMG

    Παραδείγματα VBScript

    Ο ευκολότερος τρόπος για να αυτοματοποιήσουμε ορισμένα tasks στον Forefront TMG είναι με την χρήση των VBScript.
    Τα VBScript ήταν επίσης διαθέσιμα και στην παλαιότερη έκδοση του Forefront TMG και μπορούν να χρησιμοποιηθούν για την αυτοματοποίηση ορισμένων administration tasks. Το πρώτο παράδειγμα script σας εμφανίζει όλους τους Forefront TMG arrays.

    Το script ξεκινα με την ρύθμιση του Forefront TMG
    root το οποίο είναι πάντοτε το FPC.Root και οριοθετεί μια παράμετρο - (set a variable) - η οποία θα περιέχει τους Forefront TMG arrays (objFPC.Arrays). Το script θα εμφανίζει ένα Input Box όπου θα εισάγουμε το όνομα του Forefront TMG array ή αντιστοίχως θα αφήνουμε το dialog box κενό έτσι ώστε να αλμβάνουμε μία λίστα από όλους τους διαθέσιμους Forefront TMG arrays. 
     
     


    Εικόνα 3: Εμφάνιση πληροφοριών για τον Forefront TMG array.
     

    Ένα κλασικό Script

    Ένα κλασικό script το οποίο έχω χρησιμοποιήσει αρκετές φορές σε εγκαταστάσεις ISA Server και Forefront TMG
    είναι η εξαγωγή όλου του Forefront TMG configuration κάνοντας χρήση ενός
    script. Μπορείτε να χρησιμοποιήσετε το παρακάτω script σε συνδυασμό με τον Windows Task Scheduler για να εξάγετε το όλο το Forefront TMG configuration σε κάποιον άλλο host σε επαναλαμβάνομενα χρονικά διαστήματα.

    Dim fileName

    Dim WSHNetwork

    Dim shareName: shareName = WScript.Arguments(0)

    Dim xmldom : set xmldom = CreateObject("Msxml2.DOMDocument")

    Dim fpc : set fpc = WScript.CreateObject("Fpc.Root")

    Dim array : set array = fpc.GetContainingArray

    set WSHNetwork = CreateObject("WScript.Network")

    fileName=shareName & "\" & WSHNetwork.ComputerName & "-" &

    Month(Now) & "-" & Day(Now) & "-" & Year(Now) & ".xml"

    array.Export xmldom, 0

    xmldom.save(fileName)

    Αυτό το script χρησιμοποιεί το Windows Scripting Host (WSH), καθορίζει το Forefront TMG Root (FPC.Root), ορίζει κα΄ποιες μεταβλητές και εν συνεχεία δημιουργεί ένα αρχείο XML το οποίο βασίζεται στην συγκεκριμένη ημέρα κατά την οποία αυτό το script εκτελέστηκε. Συνεπώς δεν έχετε παρά να σώσετε το παραπάνω παράδειγμα scripting ως ένα αρχείο με .VBS extension και αμέσως μετά δημιουργήστε ένα αρχείο batch με την ακόλουθη σύνταξη:

    Cscript TMGBACKUP.VBS \\RemoteServer\TMG-BACKUP

    Το παραπάνω θα δημιουργήσει ένα αντίγραφο ασφαλείας του Forefront TMG
    configuration στο προκαθορισμένο file share (TMG-Backup). Εάν επιθυμείτε να δημιουργήσετε επαναλαβάνομενα backups του δικού σας Forefront TMG configuration απλά πρέπει να δημιουργήσετε ένα task με το Windows Task Scheduler, το οποίο θα εκτελεί το συγκεκριμένο αρχείο batch.

    Εξαγωγή του ISA Server 2006 VPN configuration και εισαγωγή του στον Forefront TMG
    Το επόμενο παράδειγμα είναι πιο περίπλοκο. Πραγματοποιεί την εξαγωγή του ISA Server 2006 VPN
    configuration και την εισαγωγή του σε έναν Forefront TMG Server. Το script αυτό δημιουργήθηκε από τον MVP
    Christian Groebner. To πλήρες άρθρο μπορείτε να το βρείτε στον παρακάτω σύνδεσμο ο οποίος είναι αφιερωμένος αποκλειστικά στον ISA Server και τον  Forefront TMG.

    Εάν θέλετε να χρησμοποιήσετε αυτό το script example απλά κάνετε copy όλο το κείμενο στο Notepad και το σώζετε με .VBS extension.

    ' ----- Sub restore_ipsec_settings -----

    Sub restore_ipsec_settings(fpcRoot, VPN_Name, Int_PhaseI, Enc_PhaseI, Int_PhaseII, Enc_PhaseII)

     Dim Intproviders
     Dim Encproviders

     Intproviders = Array("SHA1","MD5")
     Encproviders = Array("DES","3DES")

     set objIPSec = fpcRoot.GetContainingArray.NetworkConfiguration.Networks.Item(VPN_Name).VPNConfiguration.IPSecSettings

     wscript.echo "Restoring IPSec-settings for network" & VPN_Name & vbCrLf
     wscript.echo "Phase I integrity : " & Intproviders(Int_PhaseI)
     objIPSec.Phase1Integrity = Int_PhaseI
     wscript.echo "Phase I encryption : " & Encproviders(Enc_PhaseI)
     objIPSec.Phase1Encryption = Enc_PhaseI
     wscript.echo "Phase II integrity : " & Intproviders(Int_PhaseII)
     objIPSec.Phase2Integrity = Int_PhaseII
     wscript.echo "Phase II encryption : " & Encproviders(Enc_PhaseII) & vbCrLf
     objIPSec.Phase2Encryption = Enc_PhaseII
     wscript.echo "Successfully applied the settings"
     wscript.echo "-----------------------------------------------------------" & vbCrLf

    End Sub


    ' ------ Sub Main -------

    Sub Main()

     Dim PhaseI_Int
     Dim PhaseI_Enc
     Dim PhaseII_Int
     Dim PhaseII_Enc
     Dim config

     config
    = Inputbox("Please enter the complete path and filename with extension
    to the existing configuration file of ISA 2006 : (Example:
    C:\Temp\config.xml)")

     Set xmlFile = CreateObject("Microsoft.XMLDOM")

     If xmlFile.load(config) then

      set objFPC = CreateObject("FPC.Root")

      Set networkNodes = xmlFile.getElementsByTagName("fpc4:Network")

      For each networkNode in networkNodes

       If (Not(networkNode.selectSingleNode("fpc4:NetworkConnectionType") is Nothing)) Then

        If (networkNode.selectSingleNode("fpc4:NetworkConnectionType").Text = 4) Then

         PhaseI_Int = 0
         PhaseI_Enc = 1
         PhaseII_Int = 0
         PhaseII_Enc = 1
         Name = networkNode.selectSingleNode("fpc4:Name").Text

         Set ipsecSettingsNode = networkNode.selectSingleNode("fpc4:VpnNetworkConfiguration/fpc4:VpnNetworkIPSecSettings")

         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption")
    is Nothing)) Then PhaseI_Enc =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption").Text
         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity")
    is Nothing)) Then PhaseI_Int =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity").Text
         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption")
    is Nothing)) Then PhaseII_Enc =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption").Text
         If

    (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity")
    is Nothing)) Then PhaseII_Int =
    ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity").Text

         restore_ipsec_settings objFPC, Name, PhaseI_Int, PhaseI_Enc, PhaseII_Int, PhaseII_Enc

        End If

       End If

      Next

     objFPC.GetContainingArray.Save

     Else

      wscript.echo("The file does not exist!")

     End If

    End Sub


    '------ Start the script ------

    Main

    Εμφάνιση των Forefront TMG URL κατηγοριών
    Μία από τις καινούριες ιδιότητες - λειτουργίες του Forefront TMG είναι η υποστήριξη του for dynamic
    URL filtering. Το URL filtering χρησιμοποιεί κατηγορίες. Για να εμφανίσετε όλες τις τις Forefront TMG URL filter κατηγορίες, θα πρέπει να δημιουργήσετε ένα script με τον παρακάτω κώδικα:

    set root=CreateObject("FPC.Root")

    For Each cat in root.GetContainingArray().RuleElements.UrlCategories

        wscript.echo "'" & cat.Name & "' --> " & cat.CategoryID

    Next

    Το output του παραπάνω script παρουσιάζεται παρακάτω:
     


    Εικόνα 4: Εμφάνιση του Forefront TMG array information

    Ο Forefront TMG και το PowerShell
    Ο Forefront
    TMG δεν έχει ενσωματωμένο το Windows PowerShell cmdlet, αλλά μπορούμε αν'αυτού να χρησιμοποιήσουμε τα COM objects. Όταν έχουμε πρόσβαση στο ProgID ενός COM component,
    το οποίο είναι αποθηκευμένο στην Registry μπορούμε να χρησιμοποιήσουμε την εντολή New-Object command στο Windows PowerShell όπως θα διαπιστώσετε στο επόμενο screenshot (Root
    Object is always FPC.Root).
     


    Εικόνα 5: Καθορισμός του TMG Root Object

    Εμφάνιση του Forefront TMG Root

    Αμέσως μετά τον καθορισμό του Forefront TMG Root Object στο Windows
    PowerShell μπορούμε να λάβουμε πληροφορία σχετικά με το Forefront TMG Root Object
    configuration, όπως αυτό παρουσιάζεται στο παρακάτω screenshot.
     


    Εικόνα 6: Εμφάνιση του Forefront TMG root

    Query single Forefront TMG objects.

    Εάν θέλουμε να κάνουμε query σε ένα και μόνον Forefront TMG objects εισάγουμε $TMGRoot. στο Windows PowerShell window και κάνουμε κλικ στο TAB key πίσω από το $TMGRoot. definition για να εμφανιστούν όλα τα στοιχεία (all elements).
     


    Εικόνα 7: Query Forefront TMG objects κάτω από το FPC.Root
     


    Εικόνα 8: Εμφάνιση των properties του FPC.Root

    Καθορισμός του Forefront TMG Enterprise και του Array configuration με το Export
    Στο τελευταίο μας παράδειγμα θα μάθουμε τον τρόπο με τον οποίο μπορούμε να χρησιμοποιήσουμε το PowerShell σε συνδυασμό με τον Forefront TMG. Αυτό το παράδειγμα script μπορείτε να το κατεβάσετε από αυτόν τον σύνδεσμο. Το script αυτό καθορίζει τον Forefront TMG Enterprise και τους συνδεόμενους σε αυτόν arrays και εξάγει το configuration σε ένα αρχείο XML.

    Συμπέρασμα
    Ολοκληρώνοντας σε αυτό το άρθρο σας παρουσίασα μια σύντομη εισαγωγή του τρόπου με τον οποίο μπορείτε να διαχειριστείτε τον Forefront TMG κάνοντας χρήση των VBscript και του Microsoft PowerShell. Υπάρχουν διαθέσιμα στο διαδίκτυο πολλά ελεύθερα προς κατέβασμα και χρήση παραδείγματα Script όπου με λίγη προγραμματιστική προσπάθεια πιστεύω ότι μπορείτε να δημιουργήσετε τα δικά σας scripts
    τα οποία είμαι βέβαιος ότι θα διευκολύνουν την καθημερινή σας διαχείριση του Forefront TMG. Ελπίζω ότι η επόμενη έκδοση του Forefront TMG θα παρέχει πλήρη υποστήριξη του PowerShell.
  14. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, με το παρόν άρθρο θα ήθελα να κοινοποιήσω τα αποτελέσματα των δοκιμών τα οποία έλαβαν χώρα από το Microsoft Exchange Team τα οποία είχαν σαν σκοπό να πιστοποιήσουν την συμβατότητα του Microsoft Exchange Server 2010 με το Windows Server 2008 R2 Service Pack 1. Προκειμένου το κείμενο να μην παρερμηνευτεί το παραθέτω αυτούσιο στην Αγγλική γλώσσα και όχι μεταφρασμένο στην Ελληνική γλώσσα.
     

    Support for Windows Server 2008 R2 SP1 on your Exchange 2010 Servers
     

    February 11, 2011 By Paul Cunningham
    Update: the Microsoft Exchange Team has announced that it is supported to run the following Exchange versions on Windows Server 2008 R2 SP1:

    Exchange 2010 SP1 Exchange 2010 RTM Exchange 2007 SP3
    The best news of all is that Windows Server 2008 R2 SP1 now includes
    all of the pre-requisite hotfixes for Exchange Server 2010 SP1, so no
    more manually downloading and installing the 6 or 7 patches that were
    previously needed.

    Original post below:

    Henrik Walther has answered the question from many Exchange 2010
    administrators as to whether it is supported to run Windows Server 2008
    R2 Service Pack 1 (SP1 has just been released) on Exchange 2010 servers.

    From Henrik’s blog:


    I see more and more questions from folks asking whether
    it’s supported to install Exchange 2010 SP1 on Windows Server 2008 R2
    with the new SP1 applied or even upgrade an existing server Exchange
    2010 SP1 server running on Windows Server 2008 R2 to this new service
    pack.

    There’s still no information about this in the Exchange Server 2010
    Supportability Matrix, but according to the Exchange team this is not
    supported with the current Exchange 2010 SP1 build but will be with
    Exchange 2010 SP2 (or with some luck with a future Exchange 2010 SP1
    roll-up update).

    So if you were considering the upgrade its best that you hold off until an official support statement is made.
    Windows 2008 R2 SP1 general availability and what it means for Exchange


    Now that you might have seen the announcement for general availability of Windows 2008 R2 SP1, we wanted to get ahead of the inevitable question: "Is Exchange supported running on Windows Server 2008 R2 SP1?"
    We
    wanted to let you know that we've completed testing with Windows 2008
    R2 SP1 and the following versions of Exchange are supported to run on
    Windows 2008 R2 SP1 (the RTM version of SP1):
    Exchange 2010 SP1
    Exchange 2010 RTM
    Exchange 2007 SP3
    Please note that Exchange 2007 was not supported to run on Windows 2008 R2 at all before Exchange 2007 SP3 release.
     
    Also note, Windows 2008 R2 SP1 includes the hotfixes required to install Exchange 2010 SP1 (listed in Exchange 2010 SP1 FAQ and Known Issues
    — 979744, 983440, 979099, 982867 and 977020). If you're installing
    Exchange 2010 SP1 on a server running Windows 2008 R2 SP1, you don't
    need to install these hotfixes separately.

    Nino Bilic

     
     
     
  15. Jordan_Tsafaridis
    Όταν κάνουμε login σε έναν Exchange 2010 server, και εν συνεχεία ανοίγουμε το Exchange
    Management Console, είναι πολύ πιθανόν να εμφανιστεί ένα μήνυμα λάθους. Αυτό το μήνυμα λάθους σχετίζεται άμεσα με δύο θέματα.  Είτε ο Exchange 2010 Server έχει όντως πρόβλημα επικοινωνίας με τους Ιn-Site Domain Controllers, είτε υπάρχει profile corruption του λογαριασμού (account) τον οποίο χρησιμοποιούμε για να κάνουμε login στον Exchange 2010 Server.  Σύμφωνα δε με πληροφορίες οι οποίες προέρχονται από διάφορα user forums το συγκεκριμένο πρόβλημα κατά πλειοψηφία οφείλεται σε profile
    corruption του Exchange Management Console file.   

    Βήματα επίλυσης του προβλήματος

    Επαλίθευση και πιστοποίηση της επικοινωνίας με τους Domain Controllers:
    Πρώτα απ' όλα θα πρέπει να επαληθεύσουμε ότι ο Exchange 2010 Server δεν λαμβάνει λάθη κατά ην διάρκεια του MSExchange DSAccess suitability testing.  Αυτό μπορεί να εξακριβωθεί διαμέσου του Event log\Application
    EventID:  2080
    Source:  MSExchange ADAccess

    Εφόσον δεν εμφανίζονται στην λίστα όλοι οι In-Site
    domain controllers τους οποίους έχουμε εγκατεστημένους Ή το suitability score διαφέρει σημαντικά το ένα από το άλλο, τότε θα πρέπει να διερευνήσουμε μήπως υπάρχουν προβλήματα επικοινωνίας (communication) καθώς επίσης και προβλήματα στο replication μεταξύ των εγκατεστημένων DCs.  Εάν όλα είναι εντάξει τότε προχωρούμε στην διαδικασία επιδιόρθωσης του profile corruption.
    Profile corruption:
    Για την επιδιόρθωση :
    1. Κάνουμε login στον Exchange 2010 Server, και εν συνεχεία μεταβαίνουμε στην ακόλουθη θέση :
    C:\Users\<Username>\AppData\Roaming\Microsoft\MMC\
    2. Διαγράφουμε ή μετονομζουμε (Delete or rename) το ακόλουθο αρχείο : “Exchange Management Console”
    3. Αμέσως μετά κάνουμε Log out και εν συνεχεία κάνουμε ξανά login. Ανοίγουμε το Exchange Management Console και το λάθος θα πρέπει να μην εμφανιστεί ξανά.
  16. Jordan_Tsafaridis
    Εισαγωγή
    Στο πρώτο μέρος αυτής της σειράς τεχνικών άρθρων τα οποία αναφέρονται στα Access Rules, παρουσιάσα τον σκοπό και τις διαδικασίες για την δημιουργία ενός Access Rule καθώς και τον τρόπο χρήσης του Access Rule wizard για την δημιουργία ενός κανόνα.
    Στο δεύτερο αυτό μέρος θα δώσουμε έμφαση στις λεπτομέριες των Access Rules αφότου αυτοί έχουν δημιουργηθεί από τον wizard. Ο λόγος για τον οποίο θέλουμε να το κάνουμε αυτό είναι υπάρχει μια σειρά ρυθμίσεων η οποία δεν εμφανίζεται κατά την διάρκεια χρήσης του Access
    Rule wizard.

    Εάν κάνουμε διπλό κλικ σε ένα access rule αμέσως μετά την δημιουργία του, θα εμφανιστεί το Properties dialog box του συγκεκριμένου κανόνα. Το πρώτο tab το οποίο θα παρουσιαστεί είναι το General
    tab. Σε αυτό το σημείο μπορούμε να αλλάξουμε το όνομα του κανόνα (rule) και να συμπληρώσουμε επίσης και μια σύντομη περιγραφή του κανόνα. Θα ανακαλύψετε όπως και εγώ ότι το description box αποτελεί μια πραγματική βοήθεια, διότι σε αυτό μπορούμε να καταγράψουμε τον λόγο για τον οποίο δημιουργήσαμε τον συγκεκριμένο κανόνα, ποιος δημιουργήσε τον κανόνα, πότε δημιουργήθηκε ο κανόνας, αλλά επίσης και τον λόγο για τον οποίο δημιουργήσαμε τον κανόνα, όπως για παράδειγμα ποιος απαίτησε την δημιουργία του κανόνα ή ποιο επιχειρησιακό πρόβλημα ο κανόνας αυτός επιλύει.

    Σημειώστε ότι το Evaluation order περιλαμβάνεται σε αυτό το tab.
    Παρόλα αυτά, θα πρέπει να είμαστε προσεκτικοί διότι αυτό το evaluation order για την λίστα των firewall rules βρίσκεται εκτός (outside) από τα System Policy rules. Τα System Policy rules πάντοτε αξιολογούντε (evaluated) πριν την αξιολόγηση των firewall policy rules. Εδώ μπορούμε να ενεργοποιήσουμε ή να απενεργοποιήσουμε τον κανόνα χρησιμοποιώντας το Enable checkbox.


    Εικόνα 1

    Στο Action tab, έχουμε την παρακάτω σειρά επιλογών:

    Allow - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν allow rule με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι επιτρεπτή. (Τhe connection will be allowed)
    Deny - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν κανόνα άρνησης (deny rule) με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι
    μη επιτρεπτή. (Τηε connection will be denied)

    Display denial notification to user - Εάν ο κανόνας είναι ένας κανόνας HTTP, και επιλέξουμε αυτήν την επιλογή, έχουμε την δυνατότητα να εισάγουμε ένα κείμενο το οποίο θα κοινοποιείται στον χρήστη ενημερώνοντάς τον ότι η σύνδεση την οποία προσπάθησε να πραγματοποιήσει δεν επιτρέπεται. Η πληροφορία αυτή θα εμφανίζεται σε ένα browser window. Χρησιμοποιώντας αυτό το χαρακτηριστικό ο χρήστης θα είναι σε θέση να γνωρίζει γιατί η σύνδεση την οποία πήγε να πραγματοποιήσει δεν επιτράπηκε.
    Add denied request category to notification - Η επιλογή αυτή είναι διαθέσιμη όταν το URL filtering είναι ενεργοποιημένο εφόσον εάν έχουμε ενεργοποιήσει το URL filtering στον TMG firewall, έχοντας την δυνατότητα να ενημερώσουμε τον χρήστη, πότε το request δεν έγινε αποδεκτό, καθώς επίσης και σε ποια κατηγορία απαγορευμένων ιστοσελίδων προσπάθησε να μπει ο συγκεκριμένος χρήστης. Κατά γενική ομολογία οι χρήστες δεν ενδιαφέρονται γι' αυτήν την πληροφορία, αλλά εάν έχουμε κανόνες οι οποίοι απευθύνονται σε admins ή power users,
    τότε είναι πιθανόν γι' αυτούς τους χρήστες η πληροφορία αυτή να είναι ιδιαίτερα χρήσιμη έτσι ώστε να προχωρήσουν σε επανακατηγοριοποίηση των ιστοσελίδων.

    Redirect web client to the following URL - Εάν για κάποιο λόγο δεν επιθυμούμε να εμφανίσουμε μια ιστοσελίδα στην οποία να εξηγούμε στον χρήστη γιατί δεν επιτράπηκε η σύνδεσή του, εδώ έχουμε την επιλογή να ανακατευθύνουμε τον χρήστη (redirect the user) σε μια ιστοσελίδα της αρεσκείας μας.
    Τέτοια ιστοσελίδα μπορεί να είναι μια ιστοσελίδα στην οποία περιγράφονται οι κανονισμοί πρόσβασης και χρήσης του διαδικτύου στην συγκεκριμένη επιχείρηση στην οποία εργαζόμαστε.

    Log requests matching this rule - Αυτή η επιλογή είναι εξ ορισμού ενεργοποιημένη και επιτρέπει συνδέσεις οι οποίες είναι εναρμονισμένες με τον συγκεκριμένο κανόνα να γίνονται logged στα TMG firewall logs. Βεβαίως υπάρχουν και περιπτώσεις για τις οποίες δεν είναι απαραίτητη η καταγραφή πληροφορίας όπως τα επονομαζόμενα garbage traffic (NetBIOS broadcasts, LLMNR broadcasts, κ.τ.λ.). Αυτή η κίνηση θα έχει ως άμεση συνέπεια την σημαντική μείωση του όγκου των log files
    και θα μετατρέψει τα logs σε καθαρότερη και εύκολότερα αναγνώσιμη μορφή.


    Εικόνα 2

    Στην σελίδα Protocols, έχουμε επιλογές οι οποίες είναι παρόμοιες με αυτές οι οποίες περιλαμβάνονται στον Access Rule wizard. Το This rule applies to drop down box παρέχει τις ίδιες επιλογές, και μπορούμε να χρησιμοποιήσουμε τα Add, Edit και Remove buttons για να προσθέσουμε, να επεξεργαστούμε ή να αφαιρέσουμε protocols τα οποία θα βρίσκουν εφαρμογή σε αυτόν τον κανόνα. Επιπροσθέτως έχουμε το Ports option το οποίο ήταν διαθέσιμο. Το Filtering button, όταν ενεργοποιηθεί, μας επιτρέπει να ρυθμίσουμε το HTTP Policy
    γι'αυτόν τον κανόνα (Εάν αυτός είναι ένας κανόνας HTTP). Αυτό το χαρακτηστικό περιλαμβανόταν και σε παλαιότερες εκδόσεις του ISA firewall, το οποίο ήυαν ευρέως γνωστό ως HTTP Security Filter. Άλλα φίλτρα μπορούν να είναι διαθέσιμα - αναλόγως των πρωτόκολων τα οποία χρησιμοποιούμε – εφόσον αυτά βρίσκουν εφαρμογή σε πρωτόκολα outbound. Η πλειοψηφία των protocol filters τα οποία είναι διαθέσιμα στον TMG είναι σχεδιασμένα για το inbound protection, αλλά υπάρχουν ορισμένα τα οποία έχουν εφαρμογή σε πρωτόκολα outbound.


    Εικόνα 3

    Στο From tab, μπορούμε να καθορίσουμε τα source locations στα οποία αυτός ο κανόνας θα βρίσκει εφαρμογή. Με άλλα λόγια είναι οι clients οι οποίοι βρίσκονται σε ένα δίκτυο το οποίο προστατεύεται από τον TMG. Η επιλογή αυτή είναι όμοια με αυτήν την οποία είδαμε και στον Access Rule
    wizard. Όταν κάνουμε κλικ στο Add, εμφανίζεται το Add Network Entities
    dialog box και μπορούμε να επιλέξουμε από έναν μεγάλο αριθμό από network entities ή να δημιουργήσουμε καινούριες. Μια επιλογή η οποία είναι διαθέσιμη σε αυτό το tab, η οποία δεν εμφανίζεται στον Access Rule wizard, είναι ο τομέας των Exceptions.
    Εδώ είμαστε σε θέση να καθορίσουμε τα sources στα οποία επιθυμούμε αυτός ο κανόνας να εφαρμόζεται, αλλά εάν υπάρχει ένα υποσύνολο μέσα σε αυτήν την ομάδα (group) στο οποίο ο κανόνας δεν πρέπει να εφαρμοστεί,
    τότε μπορούμε να το τοποθετήσουμε μέσα στον τομέα των Exceptions. Αυτό αποτελεί μια πανίσχυρη επιλογή και θα πρέπει πάντοτε να το λαμβάνουμε υπόψην μας όταν σχεδιάζουμε Access Rules.


    Εικόνα 4

    Το To tab είναι όμοιο με το From tab, όπου καθορίζουμε τον προορισμό (destination) με τον θέλουμε να συμπίπτει ο κανόνας. Όταν κάνουμε κλικ στο Add, ανοίγει αυτόματα το Add Network Entities
    dialog box στο οποίο μας δίνετε η δυνατότητα να επιλέξουμε την θέση προορισμού (destination location) από την λίστα η οποία παρουσιάζεται,
    ή μπορούμε να δημιουργήσουμε μια καινούρια θέση προορισμού. Όσον αφορά το From tab, έχουμε επίσης την δυνατότητα δημιουργίας Exceptions.


    Εικόνα 5

    Στο Users tab, μπορούμε να καθορίσουμε σε ποιους χρήστες ο συγκεκριμένος κανόνας θα έχει εφαρμογή. Εξ ορισμού, το σετ χρηστών All Users χρησιμοποιείται για όλα τα Access Rules. Βεβαίως στο σημείο αυτό θα πρέπει να λάβουμε υπόψην μας ότι όταν αναφερόμαστε στο All Users δεν σημαίνει στην πραγματικότητα ότι συμπεριλαμβάνονται όλοι οι χρήστες (all
    users), αλλά αντιθέτως αντιπροσωπεύει ανώνυμες συνδέσεις και επικυρωμένες συνδέσεις (anonymous connections and authenticated
    connections). Εάν επιθυμούμε να εξαναγκάσουμε τους χρήστες να επικυρώσουν την σύνδεσή τους (authenticate), θα πρέπει να χρησιμοποιήσουμε κάποιο άλλο σετ χρηστών και να διαγράψουμε το All Users user set.

    Εάν κάνουμε κλικ στο Add, μπορούμε να επιλέξουμε το All Authenticated Users
    και τότε μόνον στους χρήστες οι οποίοι έχουν επικυρώσει την σύνδεσή τους με τον TMG firewall θα έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η επικύρωση του χρήστη μπορεί να πραγματοποιηθεί του web proxy client configuration ή του Firewall client (TMG client)
    configuration. Εάν θέλουμε να δημιουργήσουμε το δικό μας σετ χρηστών, απλά κάνουμε κλικ στο κουμπί New.


    Εικόνα 6

    Όταν κάνουμε κλικ στο New, εμφανίζεται ο Welcome to the New User Set
    wizard. Στην πρώτη σελίδα του wizard, εισάγουμε το όνομα του σετ χρηστών.
    Σε αυτό το παράδειγμα θα δημιουργήσουμε ένα σετ χρηστών το οποίο θα περιλαμβάνει το Domain
    Admins Active Directory group, και συνεπώς θα ονομάσουμε τον καινούριο κανόνα ως Administrators και εν συνεχεία κάνουμε κλικ στο Next.


    Εικόνα 7

    Στην σελίδα Users, όταν κάνουμε κλικ στο Add, εμφανίζεται ένα μενού τύπου fly out. Αυτό το fly out μενού περιλαμβάνει τις ακόλουθες πηγές πιστοποίησης:

    Windows users and groups - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory domain ή σε αξιόπιστο τομέα στον οποίο ο TMG Firewall ανήκει.
    LDAP - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory και μπορούμε να τους χρησιμοποιήσουμε όταν ο TMG firewall δεν είναι μέλος ενός τομέα (domain). Λάβετε υπόψην σας ότι ο TMG δεν υποστηρίζει LDAP authentication σε Access Rules.

    RADIUS - Αυτοί είναι οι χρήστες οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS. Σημειώστε ότι ο RADIUS δεν υποστηρίζει Group Membership, ασχέτως αν μας επιτρέπεται να δημιουργήσουμε έναν χρήστη ό οποίος εμπεριέχει πολλαπλούς λογαριασμούς - (multiple accounts) - οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS, γεγονός το οποίο έχει ως αποτέλεσμα ένα ad hoc group στον
    TMG firewall. Ο RADIUS υποστηρίζεται σε outbound web connections διαμέσου του TMG firewall.

    SecurID - Αυτοί είναι οι χρήστες καθορίζονται από το SecurID. Το SecurID δεν υποστηρίζεται στα outbound connections διαμέσου του TMG firewall και των αντίστοιχων Access Rules.
    Στο παράδειγμα αυτό, ο TMG firewall έχει συνδεθεί (joined) στο Active Directory domain, και για τον λόγο αυτό θα επιλέξουμε το Windows users and groups.


    Εικόνα 8

    Η προηγούμενη επιλογή φέρνει στο προσκήνι0 το Select Users or Groups dialog box. Στο σημείο αυτό εισαγάγουμε τους Domain Admins στο Enter the object names to select text box και εν συνεχεία κάνουμε κλικ στο Check Names και αμέσως μετά κάνουμε κλικ στο OK έτσι ώστε να συμπεριλάβουμε αυτό το Active Directory group στο σετ χρηστών.


    Εικόνα 9

    Σε αυτό το σημείο βλέπουμε τον νέο χρήστη στην σελίδα Users. Μπορούμε να προσθέσουμε περισσότερους χρήστες σε αυτό το σετ χρηστών εφόσον το επιθυμούμε. Στο παράδειγμα αυτό θα κάνουμε κλικ στο Next και δεν θα προσθέσουμε κανέναν άλλο χρήστη σε αυτό το σετ χρηστών.


    Εικόνα 10

    Στην σελίδα Completing the New User Set Wizard, κάνουμε κλικ στο Finish για να δημιουργήσουμε το καινούριο σετ χρηστών.


    Εικόνα 11

    Τώρα μπορούμε να δούμε το Administrators group στο Add Users dialog box και μπορούμε να χρησιμοποιήσουμε αυτό το group στα Access Rules και στα publishing rules.


    εικόνα 12

    Στο Schedule tab, μπορούμε να καθορίσουμε ένα χρονοδιάγραμμ για τον κανόνα ο οποίος καθορίζει με την σειρά του τις ώρες κατά τις οποίες ο κανόνας αυτός θα εφαρμόζεται. Σημειώστε ότι όταν ορίζουμε ένα χρονοδιάγραμμα, το χρονοδιάγραμμα εφαρμόζεται μόνον στις καινούριες συνδέσεις και συνεπώς για ήδη συνδεδεμένους χρήστες πριν από την εφαρμογή του κανόνα ο κανόνας αυτός δεν θα σταματήσει τις συνδέσεις τους. Ωστόσο, αν μια νέα προσπάθεια σύνδεσης που ταιριάζει με τον κανόνα είναι έξω από το χρονοδιάγραμμα, τότε η σύνδεση θα αρνηθεί. Το εξ ορισμού χρονοδιάγραμμα (schedule) είναι το Always, αλλά υπάρχουν επίσης αλλα δύο ενσωματωμένα χρονοδιαγράμματα που είναι : το  Weekends και το Work hours. Εάν παρόλα αυτά δεν μας αρέσει κανένα από τα παραπάνω ενσωματωμένα χρονοδιαγράμματα τότε κάνουμε κλικ στο New button και δημιουργούμε το δικό μας χρονοδιάγραμμα.


    Εικόνα 13

    Το Malware Inspection tab είναι καινούριο και είναι διαθέσιμο μόνον στον TMG firewall. Υπάρχει μια σειρά επιλογών σε αυτό το tab οι οποίες δεν εμφανίζονται στον Access Rule wizard:

    Inspect content downloaded from web servers to clients - Όταν ενεργοποιούμε αυτήν την επιλογή, όλο το περιεχόμενο το οποίο γίνεται downloaded από web servers θα ελέγχονται για κακόβουλο λογισμικό χρησιμοποιώντας την Microsoft AV μηχανή η οποία χρησιμοποιείται από τον TMG firewall.

    Force full content requests (remove HTTP Range header) - Αυτό αναγκάζει το firewall να ζητήσει το πλήρες περιεχόμενο, έτσι ώστε το περιεχόμενο να μπορεί να αξιολογηθεί στο σύνολό του. Εάν μόνο σειρές αξιολογήθηκαν, ενδεχόμενες απειλές ενδέχεται να έχουν παραληφθεί.

    Use rule specific settings for malware inspection - Μπορούμε να προσαρμόσουμε τις ρυθμίσεις του anti-malware για τον συγκεκριμένο κανόνα, όταν κάνουμε αυτήν την επιλογή. Συνεπώς εάν επιλέξουμε αυτή την επιλογή, θα πρέπει να κάνουμε κλικ στο
    Rule Settings button για να ολοκληρώσουμε την προσαρμοσμένη ρύθμιση των παραμέτρων μας.

    Εικόνα 14

    Στην σελίδα Edit Rule Malware Inspection Settings, υπάρχει ένας αριθμός επιλογών. Η παρακάτω εικόνα δείχνει τις εξ ορισμού ρυθμίσεις:

    Attempt to clean the infected files - Όταν αυτή η ενότητα είναι ενεργοποιημένη, το firewall TMG θα προσπαθήσει να καθαρίσει το αρχείο πριν το διαβιβάσει στο χρήστη. Εάν το αρχείο δεν μπορεί να καθαριστεί, θα διαγραφεί.
    Block files with low and medium severity threats (higher level threats are blocked automatically) - Ο TMG firewall δεν θα μπλοκάρει εξ ορισμού αρχεία με απειλές μεσαίου και χαμηλού κινδύνου, χρησμοποιώντας το Microsoft AM engine classification system.
    Block suspicious files - Ο TMG firewall χρησιμοποιεί τα heuristics για να καθορίσει πότε ένα αρχείο εάν ένα αρχείο είναι πιθανώς κακόβουλο. Όταν αυτή η επιλογή είναι επιλεγμένη, τότε το αρχείο θα μπλοκαριστεί εάν τα heuristics καθορίσουν ότι το αρχείο είναι πιθανώς malware.
    Block corrupted files - Όταν αυτή η επιλογή είναι ενεργοποιημένη, τα αρχεία που έχουν καθοριστεί ότι είναι κατεστραμμένα, θα μπλοκαριστούν. Block files that cannot be scanned - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η Microsoft AV engine δεν μπορεί να σαρώσει το αρχείο, και το αρχείο θα μπλοκαριστεί.
    Block encrypted files - Εάν το αρχείο είναι κρυπτογραφημένο, η Microsoft AV engine δεν είναι σε θέση να αξιολογήσει το αρχείο και εάν αυτή η επιλογή αυτή είναι ενεργοποιημένη το αρχείο θα μπλοκαριστεί.
    Block files if scanning time exceeds (seconds) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, περιορίζει τον χρόνο κατά τον οποίο η Microsoft AV engine μπορεί να χρησιμοποιήσει για να αξιολογήσει το αρχείο πριν το ελευθερώσει ή το μπλοκάρει. Η προεπιλεγμένη τιμή είναι 5 λεπτά.
    Block files if archive level depth exceeds - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η AV engine μπλοκάρει εκείνα τα αρχεία τα οποία έχουν υπερβεί το archive depth το οποίο έχει καθοριστεί εδώ. Η προεπιλεγμένη τιμή είναι 20 επίπεδα (levels).

    Block files larger than (MB) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, θα μπλοκάρει αρχεία τα οποία είναι μεγαλύτερα από την αξία η οποία παρουσιάζεται στο text box, με την εξ ορισμού τιμή να είναι 1000 MB (1 GB). Αυτή η επιλογή μπορεί να χρησιμοποιηθεί για να βελτιώσουμε την απόδοση του TMG firewall, αλλά θα πρέπει να είμαστε ιδιαίτερα προσεκτικοί να μην μπλοκάρουμε αρχεία τα οποία χρειάζονται οι χρήστες μιας και οι χρήστες μπορεί να εργάζονται με μεγάλα σε μέγεθος αρχεία.

    Block archive files if unpacked content is large than (MB) - Αυτή η επιλογή καθορίζει το μέγιστο μέγεθος ενός αποσυμπιεσμένου αρχείου. Αυτή η τιμή χρησιμοποιείται για να συντηρήσει τη μνήμη (preserve memory) στον TMG firewall.

    Εικόνα 15

    Συμπέρασμα

    Σε αυτό το άρθρο ασχοληθήκαμε με τις λεπτομέρειες των Access Rules. Ενώ οι περισσότερες επιλογές τις οποίες θέλουμε να ρυθμίσουμε είναι προσβάσιμες από τον Access Rule Wizard, εντούτοις υπάρχουν κάποιες σημαντικές επιλογές οι οποίες είναι προσβάσιμες μόνον αφότου έχουμε δημιουργήσει τον κανόνα πηγαίνοντας στο Properties dialog box του συγκεκριμένου κανόνα. ελπίζω ότι θα βρειτε το συγκεκριμένο άρθρο ιδιαιτέρως χρήσιμο για σας οι οποίοι χρησιμοποιείται τον TMG firewall.
  17. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας του Autoexec παρακάτω σας παραθέτω μια εξαιρετικά σοβαρή περιπτώση προβλήματος ασφάλειας του λειτουργικού συστήματος Mac OS X η οποία έγινε γνωστή την Τετάρτη 10 Νοεμβρίου 2010.
    Μάλιστα ιδιαίτερη εντύπωση προκαλεί το γεγονός ότι οι Penetration testing specialists της Core Security είχαν δημοσίως κοινοποιήσει όλη εκείνη την απαραίτητη πληροφορία σχετικά με ένα serious security vulnerability του λειτουργικού συστήματος Apple Mac OS X και σχολίαζαν με επικριτικό τρόπο το γεγονός του ότι ο κατασκευαστής έχει καθυστερήσει την κυκλοφορία του απαραίτητου διορθωτικού patch.
    Παρακάτω σας παραθέτω αυτούσια προς μελέτη την σχετική δημοσίευση :


    The vulnerability, which only affects Apple Mac OS X v10.5, could
    allow hackers to take complete control of a vulnerable machine via
    malicious PDF files.



    In an advisory, Core Security said Apple claims it already has a
    patch prepared for this issue but failed to release the fix despite
    several promises.

    Apple did not give any reasons for skipping the patch release.

    Here’s the skinny on the problem:

    The Apple Type Services is prone to
    memory corruption due a sign mismatch vulnerability when handling the
    last offset value of the CharStrings INDEX structure.

    This vulnerability could be used by a
    remote attacker to execute arbitrary code, by enticing the user of Mac
    OS X v10.5.x to view or download a PDF document containing a embedded
    malicious CFF font (Compact Font Format.

    This vulnerability is a variation of the vulnerability labeled as CVE-2010-1797 (FreeType JailbreakMe iPhone exploit variation).

    Core encourages Apple users to upgrade to Apple Mac OSX 10.6, which is not affected by this vulnerability.

    Apple has a history of being tardy with security patches.  According to this list maintained by TippingPoint ZDI, there are several outstanding high-risk vulnerabilities in Apple’s software.
    Για περισσότερες πληροφορίες δείτε τον παρακάτω σύνδεσμο : http://www.zdnet.com/blog/security/mac-os-x-security-flaw-publicized-after-apple-fails-to-patch/7712

  18. Jordan_Tsafaridis
    Σε μια εταιρική εγκατάσταση χρησιμοποιώ τον Forefront TMG 2010 ως proxy server καθώς επίσης και για να κάνει publishe μια ομάδα υπηρεσιών στο διαδίκτυο.
    Το πρόβλημα το οποίο αντιμετώπισα ήταν ότι για να διαχειρστώ τον TMG αυτό έπρεπε να γίνει διαμέσου του console viewer στον HyperV,
    διότι πολύ απλά κατά την εγκατάσταση του Microsoft ForeFront TMG 2010 είναι κλειδωμένη η χρήση του Remote Desktop (RDP). Για τον λόγο αυτό έψαξα στο διαδίκτυο για πληροφορίες σχετικά με το πως κάνουμε το setup για να ενεργοποιήσουμε το internal RDP
    access έτσι ώστε να είναι δυνατή η χρήση του remote desktop. Οι ενέργειες τις οποίες πρέπει να κάνουμε είναι οι εξής παρακάτω :

    Πρώτα απ' όλα ανοίγουμε το Forefront TMG Management console και στο αριστερό pane κάνουμε κλικ στο Firewall Policy.

    Στο δεξιό pane, κάνουμε κλικ στο Toolbox και αναζητούμε (drill down) μέσα στο Computer Sets να βρούμε το Enterprise Remote Management.



    Εν συνεχεία κάνουμε διπλό κλικ στο Enterprise Remote Management για να ανοίξουμε το συγκεκριμένο set και αμέσως μετά χρησιμοποιούμε το Add button για να επιβεβαιώσουμε ότι το εσωτερικό μας δίκτυο περιλαμβάνεται στην συγκεκριμένη λίστα.



    Εν συνεχεία επιστρέφουμε στο αριστερό pane και κάνουμε δεξί κλικ στο Firewall Policy και δημιουργούμε έναν καινούριο access rule:



    Εδώ θα πρέπει να ονοματίσουμε τον συγκεκριμένο κανόνα (Access Rule) με ένα χαρακτηριστικό όνομα το οποίο θα υποδηλώνει την λειτουργία του, π.χ. TMG RDP Management
    και εν συνεχεία κάνουμε setup στον κανόνα έτσι ώστε να επιτρέπει το RDP (Terminal Services) traffic από το εσωτερικό δίκτυο προς τον Local Host.



    Στο σημείο αυτό αποθηκεύουμε το καινούριο μας configuration και πλέον έχουμε την δυνατότητα διαχείρισης του TMG 2010 διαμέσου του RDP από το εσωτερικό δίκτυό μας.
  19. Jordan_Tsafaridis
    Το event log είναι ένα windows service το οποίο διαχειρίζεται το event logging σε ένα υπολογιστικό σύστημα. Όταν αυτή η υπηρεσία ξεκινά την λειτουργία της, τα Windows καταγράφουν (logs) όλη εκείνην την σπουδαία πληροφορία η οποία αφορά την λειτουργία του συγκεκριμένου υπολογιστικού συστήματος καθώς και των εφαρμογών οι οποίες τρέχουν / εκτελούνται σε αυτό. Τα διαθέσιμα logs σε ένα υπολογιστικό σύστημα εξαρτώνται άμεσα από τον ρόλο του συστήματος (system’s
    role) και τις εγκατεστημένες υπηρεσίες (Installed Services).

    Δύο γενικοί τύποι αρχείων log χρησιμοποιούνται


    Windows log Application and services log
    Τα Event log καταγράφουν γεγονότα (events) διαφόρων κατηγοριών όπως :

    Information Warning Error Critical Audit success Audit failures
    Το γραφικό περιβάλλον (GUI) του Event Viewer χρησιμοποιείται για την απεικόνιση και επισκόπηση αυτόνομων γεγονότων (individual  events) και αποτελεί ένα event log. Επιπροσθέτως, συμπληρωματικά του GUI tool, το PowerShell μπορεί να χρησιμοποιηθεί για να επικοινωνεί (query) με το event log. Τα παρακάτω PowerShell cmdlets μπορούν να χρησιμοποιηθούν για την διαχείριση του event log:

    Get-WinEvent Get-EventLog Clear-EventLog Limit-EventLog Show-EventLog
    Το παρακάτω script εμφανίζει εγγραφές (records) από το event log το οποίο παρουσιάζει ένα “error” state στα Application, System και Security logs.



    Η παράμετρος “-Newest 100” μας δίνει μόνον τα τελευταία 100 entries από το event log.
    Μπορούμε εφόσον το επιθυμούμαι να αποστείλουμε / αποθηκεύσουμε το συγκεκριμένο output σε ένα αρχείο text απλά χρησιμοποιώντας το Out-File cmdlet
    ή χρησιμοποιώντας τα προσθετικά σύμβολα “>” και “>>” (append symbols).

    Get-EventLog -Newest 100
    -LogName "system" | Where-Object {$_.entrytype -match
    "error"} > D:\Log_Repository\CurrentLogs.txt

    Get-EventLog -Newest 100
    -LogName "application" | Where-Object {$_.entrytype -match
    "error"} >> D:\Log_Repository\CurrentLogs.txt

    Get-EventLog -Newest 100
    -LogName "security" | Where-Object {$_.entrytype -match
    "error"} >> D:\Log_Repository\CurrentLogs.txt
    Ολοκληρώνοντας έχουμε την δυνατότητα να προγραμματίσουμε μια εργασία (schedule a job) η οποία θα τρέχει καθημερινά με σκοπό την συλλογή και παρακολούθηση όλων των “error” log entries όπως παρουσιάζεται στις παραπάνω εντολές και το αποτέλεσμα (report) να μας αποστέλλεται το μέσω email δίδοντάς μας την δυνατότητα να αναπτύξουμε ένα απλό σύστημα παρακολούθησης ενός υπολογιστικού συστήματος με σκοπό την έγκαιρη διάγνωση και άμεση αντιμετώπιση των προβλημάτων τα οποία είναι δυνατόν να προκύψουν. (Simple health
    montioring and alerting system)
  20. Jordan_Tsafaridis
    Εισαγωγή
     

    Έχοντας ήδη εγκαταστήσει και ρυθμίσει τον Data Protection Manager (DPM)
    2010
    για να πραγματοποιούμε τις λειτουργίες του backup και του restore, το
    επόμενο βήμα είναι η προστασία των συστημάτων Hyper-V host τα οποία
    βρίσκονται σε λειτουργία. Στο άρθρο αυτό θα εξηγήσουμε με απλό και
    κατανοητό τρόπο την διαδικασία της ρύθμισης (process of configuring)
    έναν Hyper-V
    host για την προστασία του, υλοποιώντας το backup και εν συνεχεία το
    restore ως αναπόσπαστα μέρη της συγκεκριμένης διαδικασίας ρύθμισης. Έτσι
    λοιπόν το συγκεκριμένο άρθρο αποτελεί το τρίτο μέρος μιας σειράς άρθρων
    τα οποία εξηγούν την εγκατάσταση, την ρύθμιση και την χρήση - how to
    install, configure, and utilize - τον DPM 2010 για να πραγματοποιούμε
    την λειτουργία του backup και του restore
    σε virtual machines και Hyper-V servers.

    Ρυθμίσεις DPM


    Πριν προχωρήσουμε στις απαραίτητες ρυθμίσεις για την προστασία ενός Hyper-V host, θα πρέπει να έχουμε ήδη εγκατεστημένο τον
    DPM 2010 καθώς επίσης θα πρέπει να εχουν προστεθεί και τα αντίστοιχα storage pool disks added με μη προκαθορισμένη χωρητικότητα (un-allocated
    capacity). Στο τέλος του δεύτερου άρθρου της συγκεκριμένης σειράς είχα προσθέσει στο σύστημα του DPM
    server ένα storage pool drive χωρητικότητας 127GB. Στο σημείο αυτό δεν υπάρχει καμία προστασία για τον οποιοδήποτε Hyper-V hosts διότι πολύ απλά δεν έχει ρυθμιστεί ακόμη. Θα πρέπει και στην δική σας αντίστοιχη προσπάθεια να βλέπετε ένα unallocated storage διαθέσιμο στα storage pool disks κάτω από το Disks
    tab στον Management section.


    Εικόνα 1


    Εγκαθιστώντας τον DPM 2010 Agent στον Hyper-V Host


    Για να μπορέσουμε να προστατεύσουμε έναν Hyper-V host, είναι απαραίτητο να εγκαταστήσουμε τον DPM agent στο συγκεκριμένο υπολοστικό σύστημα. Υπάρχουν διαθέσιμοι τρεις διαφορετικοί τρόποι για να εγκαταστήσουμε τον DPM 2010
    Agent.

    Χρησιμοποιώντας την DPM 2010 console
    Χρησιμοποιώντας μία λύση software deployment solution όπως ο System Center Configuration Manager 2007
    Χειροκίνητη (Manually) εγκατάσταση του DPM agent
    Κάθε μία από τις παραπάνω μεθόδους έχει τα πλεονεκτήματα και τα μειονεκτήματά της. Χρησιμοποιώντας την DPM 2010
    console είναι η πιο εύκολη μέθοδος. Η όλη διαδικασία γίνεται διαμέσου ενός απλού wizard και το μόνον το οποίο απατείται να γνωρίζουμε είναι το όνομα της μηχανής και το αντίστοιχο user name και password του χρήστη ο οποίος έχει τοπικά administrative δικαιώματα σε αυτήν. Το μειονέκτημα στην συγκεκριμένη περίπτωση είναι ότι πρέπει να έχουμε απενεργοποιημένο το firewall πριν από την εγκατάσταση του client. Αμέσως μετά την εγκατάσταση μπορούμε να επανενεργοποιήσουμε το firewall, ενεργοποιώντας ταυτοχρονα την εξαίρεση του DPM agent από τα firewall options.

    Εάν έχουμε ήδη εγκατεστημένο τον System Center Configuration Manager 2007, τότε είναι δυνατόν να χρησιμοποιήσουμε τον SCCM για να εγκαταστήσουμε τον DPM
    agent. Στην μηχανή στην οποία θα λάβει χώρα η εγκατάσταση θα πρέπει να υπάρχει εγκατεστημένος και σε λειτουργία ο SCCM agent και ο DPM
    agent θα πρέπει να έχει δημιουργηθεί/υλοποιηθεί ως software distribution package. Αμέσως μετά την δημιουργία του πακέτου, μπορούμε να δημιουργήσουμε μια συλλογή (collection) και εν συνεχεία να κάνουμε target αυτήν την συλλογή με το advertisement του DPM software package. Επίσης θέλουμε αυτό το πακέτο να είναι mandatory έτσι ώστε να μην απαιτείται ο χρήστης να είναι logged on. Το πλεονέκτημα αυτής της μεθόδου είναι ότι το Windows Firewall
    δεν αποτελεί πρόβλημα. Το μειονέκτημα όμως της συγκεκριμένης μεθόδου είναι ο όγκος της εργασίας ο οποίος απαιτείται για να εγκατασταθεί ο agent.

    Εάν δεν έχουμε εγκατεστημένο τον SCCM και αποτελεί μείζον θέμα ασφάλειας η απενεργοποίηση του firewall στην συγκεκριμένη μηχανή, τότε η τελευταία μέθοδος της χειροκίνητης εγκατάστασης του DPM agent στην συγκεκριμένη μηχανή είναι ο ενδεδειγμένος τρόπος και αμέσως μετά την εγκατάσταση επισυνάπτουμε (attach) τον agent στην DPM console έτσι ώστε να καθοριστεί το mapping γι' αυτήν την μηχανή.

    Η παρακάτω διαδικασία παρουσάζει τον τρόπο με τον οποίο γίνεται η εγκατάσταση του DPM agent χρησιμοποιώντας την DPM console. Στο σημείο αυτό υπάρχει μια παραδοχή σύμφωνα με την οποία το firewall έχει ήδη απενεργοποιηθεί έτσι ώστε να είναι δυνατή η εγκατάσταση του agent.

    Μέσα από την DPM 2010 Administrator Console, κάνουμε κλικ στο Management Tab, και εν συνεχεία κάνουμε κλικ στο Agents tab

    Εικόνα 2


    Κάνουμε κλικ στο Install option στην δεξιά πλευρά του nd actions bar για να ξεκινήσει ο Protection Agent Installation Wizard
    Στην σελίδα Select Agent Deployment Method, επιλέγουμε το Install Agents option, και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 3


    Στην σελίδα Select Computers, επιλέγουμε τον Hyper-V host στον οποίο επιθυμούμε να γίνει η εγκατάσταση του agent και κάνουμε κλικ στο Add button. Εφόσον ο Hyper-V server έχει προστεθεί στο Selected Computers list, τότε κάνουμε κλικ στο Next

    Εικόνα 4


    Στην σελίδα Enter Credentials page, συμπληρώνουμε τα domain credentials τα οποία έχουν τοπικά administrative δικαιώματα στις μηχανές στις οποίες επιθυμούμε να εγκαταστήσουμε τον , και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 5


    Στην σελίδα  Choose Restart Method, επιλέγουμε Yes για να πραγματοποιηθεί restart στις μηχανές στις οποίες ο DPM agent έχει εγκατασταθεί (Αμέσως μετά την ολοκλήρωση της εγκατάστασης του DPM Agent), και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 6


    Στην σελίδα Summary, κάνουμε κλικ στο Install για να ξεκινήσει η διαδικασία της εγκατάστασης του agent.

    Εικόνα 7


    Στην σελίδα Installation, θα παρακολουθήσουμε το status της διαδικασίας της εγκατάστασης. Αμέσως μετά την επιτυχή ολοκλήρωση της εγκατάστασης κάνουμε κλικ στο Close.

    Εικόνα 8


    Στο Agents tab στην DPM 2010 console, θα πρέπει τώρα να βλέπουμε την ένδειξη ότι ο agent είναι εγκατεστημένος και το Status να εμφανίζεται ως OK. Εάν παρόλα αυτά το  status δεν εμφανίζεται ως Ok, τότε κάνουμε highlight το Hyper-V server entry και χρησιμοποιούμε το Refresh Information action στο δεξιο panel για να ανανεώσουμε την πληροφορία.


    Εικόνα 9


    Τώρα πηγαίνουμε στον Hyper-V server και επιβεβαιώνουμε ότι τα Windows Firewall exceptions έχουν ενεργοποιηθεί για τον DPM agent έτσι ώστε αυτός να επικοινωνεί με τον DPM server. Θα πρέπει να βλέπουμε δύο εξαιρέσεις :
    - DPMRA
    - DPMRA_DCOM_135

    Στο σημείο αυτό μπορούμε να επαναφέρουμε το firewall ξανά σε κατάσταση on.

    Δημιουργία Protection Group για τον Hyper-V Server


    Τώρα που έχουμε πλέον εγκατεστημένο τον DPM 2010 στον Hyper-V server,
    μπορούμε να δημιουργήσουμε ένα protection group και εν συνεχεία να προσθέσουμε τον Hyper-V σε αυτό το group.
    Αυτή η διαδικασία θα ενεργοποιήσει το backup και το restoration του Hyper-V server και των virtual machines που τρέχουν σε αυτόν. Σε αυτό το άρθρο δεν καλύψουμε την περίπτωση χρήσης των tape libraries, αλλά σημειώστε ότι εάν πρόκειται να χρησιμοποιήσετε ένα tape library θα πρέπει να το προσθέσετε στο configuration τώρα.

    Για να δημιουργήσουμε ένα protection group ακολουθούμε τα παρακάτω βήματα :

    Στο DPM 2010 Administrator console, κάνουμε κλικ στο Protection Tab.
    Εν συνεχεία κάνουμε κλικ στο Create Protection Group action στο δεξιό pane για να ξεκινήσει η διαδικασία, με την εκκίνηση του New protection Group wizard,
    και κάνουμε κλικ στο Next


    Εικόνα 10


    Όταν δημιουργούμε ένα protection group, μπορούμε να επιλέξουμε να προστατεύσουμε servers ή clients. Προστατεύοντας servers απαιτεί ο agent να έχει προεγκατασταθεί στον server έτσι ώστε να είναι δυνατή η επιλογή του protection information βάση του ρόλου του συγκεκριμένου server. Στην σελίδα Select Protection Group Type, επιλέγουμε το protect Servers και κάνουμε κλικ στο Next


    Εικόνα 11


    Στην σελίδα Select Group Members, επιλέγουμε τον Hyper-V server, αναπτύσουμε (expand) την πληροφορία κάτω από αυτόν, και επιλέγουμε τι πρόκειται να προστατεύσουμε. Όπως μπορείτε να δείτε και στην παρακάτω εικόνα, έχουμε την δυνατότητα να ενεργοποιήσουμε τα Share protection, Volume protection, Hyper-V protection, και System Protection. Επιλέγουμε το Hyper-V protection και κάνουμε κλικ στο Next. Επιλέγοντας το Hyper-V
    protection, αυτομάτως προστατεύονται και όλες οι virtual machines οι οποίες είναι εγγεγραμμένες στον Hyper-V server καθώς και το Hyper-V store.


    Εικόνα 12


    Στην σελίδα Select Data Protection Method, εισάγουμε ένα όνομα για το Protection Group, και εν συνεχεία στο Select the protection method επιλέγουμε short term using Disk, και αμέσως μετά κάνουμε κλικ στο Next


    Εικόνα 13


    Στην σελίδα Specify Short Term Goals, ορίζουμε το retention range (με άλλα λόγια το χρονικό διάστημα για το οποίο επιθυμούμε η συγκεκριμένη προστασία να διατηρείται), και εν συνεχεία κάνουμε κλικ στο Next. Στην συγκεκριμένη περίπτωση θα διατηρήσουμε το default application recovery point setting πραγματοποιώντας ένα express full backup κάθε μέρα.

    Εικόνα 14


    Στην σελίδα Review Disk Allocation, αποδεχόμαστε τα defaults και κάνουμε κλικ στο Next

    Εικόνα 15


    Στην σελίδα Choose Replica Creation Method, αφήνουμε το default setting χρησιμοποιώντας το τοπικό δίκτυο για την μεταφορά των replica data, αφότου έχουμε επιβεβαιώσει ότι είναι επιλεγμένο το Now
    έτσι ώστε η replica να γίνει captured αμέσως, και εν συνεχεία κάνουμε κλικ στο Next


    Εικόνα 16


    Στην σελίδα Consistency Check Options, ενεργοποιούμε την επιλογή Run a consistency check if the replica becomes inconsistent, και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 17


    Στην σελίδα Summary, επιβεβαιώνουμε όλες τις επιλογές τις οποίες έχουμε κάνει και εν συνεχεία κάνουμε κλικ στο Create Group.

    Εικόνα 18


    Στην σελίδα Status θα εμφανιστεί το protection group process.Το replica space θα πρέπει να δημιουργηθεί σε ένα από τα διαθέσιμα storage pool και αμέσως μετά το protection group θα δημιουργηθεί. Κάνουμε κλικ στο Close αμέσως μετά την επιτυχημένη δημιουργία.

    Εικόνα 19


    Ο wizard θα κλείσει και στο Protection tab θα εμφανιστεί το καινούριο protection group καθώς και το status του συγκεκριμένου protection group. Θα παρακολουθήσετε ότι η διαδικασία δημιουργίας της replica είναι σε κατάσταση επεξεργασίας. Αφότου ολοκληρωθεί η δημιουργία της replica, το protection status θα αλλάξει σε OK. Αυτό σημαίνει ότι η replica είναι έτοιμη να δεχτεί τα πραγματικά δεδομένα (actual recovery point transfer) από την πηγή. Μέχρι τα δεδομένα (recovery point) να μεταφερθούν στην replica, η μηχανή δεν είναι προστατευμένη. Η default επιλογή, είναι ότι η μεταφορά δεδομένων να λαμβάνει χώρα στις 18:00 η ώρα κάθε μέρα.


    Εικόνα 20


    Αμέσως μετά την μεολοκλήρωση της μεταφοράς του αρχικού (initial) recovery point, τότε η μηχανή είναι προστατευμένη και θα συνεχίσει να είναι προστετευμένη βάση του προκαθορισμένου χρονοδιαγράμματος.
     

    Συμπέρασμα


    Σε αυτό το άρθρο παρουσιάσαμε τα προαπαιτούμενα για την δημιουργία ενός protection group στον DPM 2010, την δημιουργία ενός protection group και τέλος την επαλήθευση ότι η replica έχει ήδη δημιουργηθεί σε συνδυασμό με το ότι το recovery point έχει ήδη μεταφερθεί στον DPM 2010 server. Στην διαδικασία αυτή εμπεριέχονται η χρήση του Protection Group Creation
    wizard, καθώς επίσης και τα options για την προστασία ενός Hyper-V server,
    ρυθμίζοντας το short term recovery, και καθορίζοντας το χρονοδιάγραμμα για την δημιουργία του recovery point. Στο επόμενο άρθρο θα ασχοληθούμε με το recovery ενός Hyper-V server και συγκεκριμένων (individual) virtual machines.
  21. Jordan_Tsafaridis
    Όταν είναι απαραίτητο να προχωρήσουμε στην απεγκατάσταση ή στην επανεγκατάσταση (remove or reinstall) ενός Exchange Server 2010 server role τότε είναι πολύ πιθανόν να αντιμετωπίσουμε τα παρακάτω λάθος.




    The following error was generated when “$error.Clear();
    uninstall-MsiPackage -PackagePath ($RoleInstallPath +
    “Mailbox\MSFTE.MSI”) -LogFile ($RoleSetupLoggingPath +
    “\InstallSearch.msilog”)” was run: “Couldn’t open package ‘C:\Program
    Files\Microsoft\Exchange Server\V14\Mailbox\MSFTE.MSI’. Another version
    of this product is already installed. Installation of this version
    cannot continue. To configure or remove the existing version of this
    product, use Add/Remove Programs on the Control Panel. Error code is
    1638.”.

    Couldn’t open package ‘C:\Program Files\Microsoft\Exchange
    Server\V14\Mailbox\MSFTE.MSI’. Another version of this product is
    already installed. Installation of this version cannot continue. To
    configure or remove the existing version of this product, use Add/Remove
    Programs on the Control Panel. Error code is 1638.

    Another version of this product is already installed. Installation of
    this version cannot continue. To configure or remove the existing
    version of this product, use Add/Remove Programs on the Control Panel

    Το λάθος αυτό μπορεί να οφείλεται σε μια σειρά από διαφορετικούς λόγους, και συνεπώς για την επίλυσή του μπορεί να υποχρεωθούμε να δοκιμάσουμε περισσότερες της μιας λύσεις.

    Η πιο γρήγορη λύση είναι να δοκιμάσουμε να επισκευάσουμε την Microsoft Full Text Indexing Engine for Exchange.  Στο Control Panel -> Uninstall a Program επιλέγουμε-χρωματίζουμε το indexing engine entry και εν συνεχεία κάνουμε κλικ στο Repair button.



    Εφόσον ολοκληρωθεί πλήρως η επισκευή τότε αμέσως μετά δοκιμάζουμε να εγκαταστήσουμε ή να απεγκαταστήσουμε τον συγκεκριμένο Exchange server role ξανά.

    Εάν το πρόβλημα συνεχίζει να υφίσταται τότε προχωρούμε σε επανεγκατάσταση του πιο τελευταίου/πρόσφατου Update
    Rollup το οποίο είχε εγκατασταθεί στον συγκεκριμένο Exchange 2010 server.  Για να διαπιστώσουμε πιο είναι αυτό update επιλέγουμε Control Panel -> Uninstall a Program.  Εν συνεχεία κάνουμε κλικ στο View Installed Updates στο αριστερό action pane.



    Σημειώστε εδώ ποιο είναι το συγκεκριμένο Update Rollup (ή το ποιο πρόσφατο εφόσον υπάρχουν περισσότερα του ενός) το οποίο είναι εγκατεστημένο στον Exchange server.




    Κάνουμε Download του συγκεκριμένου Update Rollup και το εφαρμόζουμε εκ νέου στον server, και αμέσως μετά κάνουμε restart στον Exchange server.  Εν συνεχεία προσπαθούμε εκ νέου κάνουμε απεγκατάσταση ή επανεγκατάσταση  (remove or reinstall) του Exchange
    Server 2010 role. Σε μερικές περιπτώσεις έχει διαπιστωθεί ότι η εφαρμογή για δεύτερη φορά του Update Rollup είναι απολύτως απαραίτητη για την διόρθωση του λάθους.

    Εάν και πάλι ο Exchange server role δεν καθίσταται δυνατόν να απεγκατασταθεί τότε τότε κάνουμε απεγκατάσταση (Uninstall) του Update Rollup.

    Όταν τελικά το πρόβλημα επιλυθεί τότε ο Exchange server θα περάσει με επιτυχία τα readiness checks και έτσι θα μπορέσουμε να προχωρήσουμε στην απεγκατάσταση ή την επανεγκατάσταση των Exchange server roles.


  22. Jordan_Tsafaridis
    Σε αυτόν τον οδηγό των 46 σελίδων, γίνεται μια εισαγωγή στο λειτουργικό σύστημα των Windows 7 και στο τι καινούριο έχει να προσφέρει στον τελικό χρήστη. Επίσης αυτός ο οδηγός αναφέρεται σε θέματα τα οποία σχετίζονται με software
    compatibility. Επιπροσθέτως, μας παρέχει λεπτομερείς πληροφορίες για την καινούρια taskbar, πως να χρησιμοποιούμε και να παραμετροποιούμε το Windows Aero, τι ακριβώς είναι τελικά τα Windows 7 Libraries, τι λογισμικό περιλαμβάνεται στα Windows 7, και τέλος πόσο εύκολη είναι η ρύθμιση του networking στα
    Windows 7 μαζί με ορισμένα άλλα χαρακτηριστικά.



    Κάνετε κλικ εδώ για να κατεβάσετε τον οδηγό “The Windows 7 Guide: From newbies to Pros”
  23. Jordan_Tsafaridis
    Όπως είναι γνωστό το Exchange 2010 SP1 είναι διαθέσιμο εδώ και ημέρες για το κοινό και μπορούμε να το κατεβάσουμε σε αυτό από εδώ.
     
     
     
    Υποθέτωντας ότι έχουμε ήδη εγκαταστήσει ή πρόκειται να εγκαταστήσουμε σε έναν server ο οποίος έχει ενεργούς όλους τους ρόλους του Exchange, τότε τα παρακάτω hot fixes είναι απαραίτητα πριν από την εγκατάσταση του Exchange 2010 Service Pack 1 σε λειτουργικό περιβάλλον Microsoft Windows Server R2:
     
     
    Απαραίτητες Αναβαθμίσεις για τον Windows Server 2008 R2:
     
     
     
    KB 977020 - .NET Framework 2.0 hotfix
     
    KB 979099 - AD RMS hotfix
     
    KB 979744 - .NET Framework 2.0 hotfix
     
    KB 979917 - ASP.NET 2.0 hotfix
     
    KB 2282949 - UCMA hotfix - August 2010 - 3.5.6907.210
     
    KB 982867 - .NET Framework 3.5 SP1 hotfix
     
    KB 983440 - ASP.NET 2.0 hotfix rollup
     
    Office 2010 Filter Pack
     
     
     
    Βεβαίως είναι πολλοί αυτοί οι οι οποίοι θα αναρωτηθούν γιατί αναφέρομαι σε αυτές τις αναβαθμίσεις. Ο λόγος είναι πολύ απλά ότι οι αναβαθμίσεις αυτές δεν αναπτύσσονται από το Exchange
    team, και συνεπώς δεν συμπεριλαμβάνται στα download binaries του Exchange 2010 Service Pack 1.
     
  24. Jordan_Tsafaridis
    Εισαγωγή
    Ο ISA Firewall ήταν διαθέσιμος στην αγορά πληροφορικής για ένα αρκετά μεγάλο χρονικό διάστημα. Αρκετοί ISA Firewall Administrators, τον χρησιμοποίησαν σε πλήρη παραγωγική χρήση ήδη από την beta phase του
    ISA 2000, όταν ήταν γνωστός με την κωδική ονομασία “Comet” πίσω στο έτος 2000. Για τα επόμενα δέκα έτη, χιλιάδες ISA firewall admins υιοθέτησαν και εργάστηκαν με τον ISA firewall και προχώρησαν στην επόμενη έκδοσή του. Μετά τον ISA 2000 παρουσιάστηκε ο ISA 2004 και δύο χρόνια αργότερα παρουσιάστηκε ο ISA 2006. Ο ISA 2004 αποτέλεσε μια ριζική ανανέωση σε σχέση με τον ISA 2000 firewall, γεγονός το οποίο καθιέρωσε τον ISA 2004 στην αγορά πληροφορικής αντάξιο όλων των enterprise network firewalls. Ο ISA 2006 αποτέλεσε θα μπορούσε να πει κανείς μια “R2” release, περιλαμβάνοντας κυρίως βελτιώσεις των web proxy components του firewall.

    Το 2010, η καινούρια έκδοση του ISA Firewall όχι μόνον περιλάμβανε σημαντικά - επαναστατικά νέα χαρακτηριστικά και δυνατότητες, αλλά συνάμα και την μετονομασία του πλέον σε TMG – the Threat Management Gateway 2010. Σύμφωνα δε την Microsoft όπως προκύπτει από τα στοιχεία πωλήσεων του συγκεκριμένου προϊόντος, εξαιρετικό ενδιαφέρον έχει το γεγονός ότι μετά την έναρξη κυκλοφορίας του TMG firewall, υπάρχουν πολλοί νέοι TMG firewall admins οι οποίοι στο παρελθόν ουδέποτε είχαν χρησιμοποιήσει τον ISA firewall. Οι περισσότεροι από αυτούς τους admins απαξιώνουν τα παλαιά
    “hardware” firewalls διότι πολύ απλά το κόστος συντήρησής του είναι εξαιρετικά υψηλό με αποτέλεσμα να μην λειτουργεί προς όφελος της επιχείρησης ιδιαίτερα δε σε συνθήκες οικονομικής κρίσης. Ακόμη περισσότερο ενδιαφέρον παρουσιάζει επίσης το γεγονός της μετακίνησης στον TMG Firewall, διότι λόγω της συσσωρευμένης εμπειρίας ετών την οποία έχουν αποκτήσει οι Firewall Admins σε σχέση με το παρελθόν, διαπιστώνουν ότι τα επονομαζόμενα hardware firewalls σε πολλές περιπτώσεις, είναι υποδεέστερα σε ασφάλεια σε σύγκριση με τον TMG firewall. Αυτό αποτελεί μια σημαντική εξέλιξη, η οποία υποδειλώνει την αλλαγή στη νοοτροπία της Microsoft, ενώ ταυτόχρονα είναι μια απόδειξη για την αποτελεσματικότητα του Microsoft’s
    Security Development Lifecycle, στοιχείο το οποίο άλλαξε εντελώς τον τρόπο με τον οποίο η Microsoft δημιούργησε το λογισμικό επικεντρώνοντας στην ασφάλεια σε κάθε φάση της ανάπτυξης
    του λογισμικού.

    Αν και υπάρχει σημαντικός όγκος αρθρογραφίας στο διαδίκτυο σχετικά με τον ISA, TMG Firewall, όπου παρουσιάζονται διεξοδικά περίπλοκες εγκατστάσεις, παρόλα αυτά γι' συτόν που ασχολείται συστηματικά με το συγκεκριμένο λογισμικό υπάρχει απαίτηση για αναλυτική παρουσίαση των βασικών χαρακτηριστικών από administrators οι οποίοι θέλουν να χρησιμοποιήσουν τον TMG Firewall.
     

    Είναι χαρακτηριστικό να αναφέρουμε ότι υπάρχει πρόβλημα όσον αφορά την αρθρογραφία σχετικά με το outbound access. Πάρα πολλοί νέοι TMG firewall admins έχουν εστιάσει την προσοχή τους στο
    inbound access control (π.χ., control access του Exchange και του
    SharePoint). Τώρα όμως θέλουν να αποκτήσουν τεχνογνωσία όσον αφορά το control access των outbound connections. Αυτό θα είναι και το θέμα του συγκεκριμένου άρθρου πάνω στα Access
    Rules.

    Κατανοώντας τα Access Rules

    Τα Access Rules χρησιμοποιούνται για τον έλεγχο του control outbound access σε ένα δίκτυο το οποίο προστατεύεται από τον TMG
    firewall. Όταν θέλουμε να επιτρέψουμε σε έναν Η/Υ πίσω από τον TMG firewall να έχει πρόσβαση σε ένα άλλο δίκτυο (συμπεριλαμβανομένου και του Internet), τότε είναι απαραίτητο να δημιουργήσουμε ένα Access Rule έτσι ώστε να επιτραπείο αυτή η σύνδεση. Εξ ορισμού, δεν υπάρχει κανένας
    Access Rules τα οποία επιτρέπουν συνδέσεις διαμέσου του firewall. Αυτή η εξ ορισμού κλειστή κατάσταση αποτελεί την βέλτιστη από πλευράς ασφάλειας ρύθμιση (configuration), αλλά ταυτόχρονα σημαίνει ότι εφόσον θέλουμε να επιτρέψουμε κίνηση (traffic) διαμέσου του TMG firewall, θα πρέπει να κατανοήσουμε πλήρως πως δουλεύουν τα Access
    Rules και πως τα δημιουργούμε.

    Δημιουργώντας έναν Outbound Access Rule
    Για να ξεκινήσουμε, θα δημιουργήσουμε έναν απλό outbound access rule, ο οποίος επιτρέπει σε όλους τους χρήστες να έχουν outbound access στο Internet χρησιμοποιώντας όλα τα πρωτόκολα επικοινωνίας. Στο επόμενο άρθρο θα παρουσιάσουμε με λεπτομέρεια τα
    Access Rules και θα παρουσιάσουμε ποιες είναι οι εξαρτήσεις (dependencies) των Access Rules και τον τρόπο με τον οποίο μπορούμε να τις διαχειριστούμε.

    Ας ξεκινήσουμε εκιννώντας την TMG firewall console. Εν συνεχεία κάνουμε κλικ στο Firewall Policy node στην αριστερή πλευρά της console, όπως παρουσιάζεται στην παρακάτω εικόνα 1.


    Εικόνα 1

    Αφού κάνουμε κλικ στο Firewall Policy, κάνουμε κλικ στο Tasks
    Tab στο δεξιό μέρος της console. Εδώ υπάρχει μια σειρά επιλογών (options), οι περισσότερες των οποίων σχετίζονται με την δημιουργία διαφόρων firewall rules. Στο συγκεκριμένο παράδειγμα, θέλουμε να δημιουργήσουμε ένα Access Rule το οποίο θα επιτρέπει το outbound
    access διαμέσου του TMG firewall. Για τον λόγο αυτό κάνουμε κλικ στο Create Access Rule link για να ξεκινήσει το Access Rule wizard, όπως αυτό παρουσιάζεται στην εικόνα 2 παρακάτω.


    Εικόνα 2

    Στην σελίδα Welcome to the New Access Rule Wizard, εισάγουμε ένα χαρακτηριστικό όνομα στο Access Rule name
    text box. Μιλώντας γενικά, θα πρέπει να χρησιμοποιούμε ένα σύστημα βάση του οποίου όλα τα Access Rules θα έχουν ονόματα τα οποία θα υποδηλώνουν τι κάνουν, έτσι ανά πάσα στιγμή να είμαστε σε θέση να γνωρίζουμε σε μια firewall policy ποιος είναι ο σκοπός του κάθε κανόνα. Σε αυτό το παράδειγμα, θα ονοματήσουμε τον κανόνα ως All Open 1.
    Σαφέστατα σε ένα παραγωγικό περιβάλλον, δεν θα θέλαμε να δημιουργήσουμε έναν κανόνα της μορφής αυτής διότι πολύ απλά ο κανόνας αυτός θα επιτρέψει σε όλους ανεξαιρέτως τους χρήστες και τους υπολογιστές να έχουν outbound
    access στο internet και είναι πολύ πιθανόν να μην αυτό το οποίο επιθυμούμε για ένα παραγωγικό περιβάλλον.


    Εικόνα 3

    Στην σελίδα Rule Action, μας παρέχεται η δυνατότητα ορίσουμε τον κανόνα ως Allow ή Deny
    rule. Σημειώστε ότι εξ ορισμού δημιουργούμε έναν Deny rule, στοιχείο το οποίο αποτελεί καλή ιδέα κάτω από το πρίσμα της ασφάλειας. Συνεπώς θα αλλάξουμε την κατάσταση από Deny σε Allow πριν κάνουμε κλικ στο Next έτσι ώστε να γίνει ο κανόνας μας ένας Allow rule.


    Εικόνα 4

    Στην σελίδα των Protocols, επιλέγουμε τα πρωτόκολα στα οποία ο κανόνας αυτός πόκειται να εφαρμοστεί. Στο This rule applies to drop down box, έχουμε τις παρακάτω τρεις επιλογές :

    All outbound traffic - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε ο κανόνας μας να έχει εφαρμογή σε όλα τα πρωτόκολα.
    Selected protocols - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε να επιλέξουμε συγκεκριμένα πρωτόκολα, στα οποία πρόκειται να εφαρμοστεί ο κανόνας μας. All outbound traffic except selected - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε επιτρέπουμε ή να μην επιτρέπουμε (to allow or deny) όλα τα πρωτόκολα εκτός από ένα υποσύνολο αυτών τα οποία επιλέγουμε στην συγκεκριμένη σελίδα.

    Εικόνα 5

    Εάν επιλέξουμε την δεύτερη ή την τρίτη επιλογή, τότε κάνουμε κλικ στο Add button για να επιλέξουμε τα πρωτόκολα στα οποία θέλουμε ο κανόνας αυτός να έχει εφαρμογή. Αφού κάνουμε κλικ στο Add button, θα μας έρθει στο προσκήνιο το πλαίσο διαλόγου Add Protocols. Όταν κάνουμε κλικ σε έναν φάκελο σε αυτό το πλαίσιο διαλόγου, ο φάκελος ανοίγει παρουσιάζοντας μια λίστα των πρωτοκόλων. Η ομάδα ανάπτυξης του TMG firewall για να διευκολύνει το έργο μας διαχώρισε τα πρωτόκολα σε νοηματικές ομάδες (meaningful groups) έτσι ώστε να είναι ευκολότερο για εμάς να βρίσκουμε το-α συγκεκριμένο-α πρωτόκολο-α που μας ενδιαφέρει. Κάνουμε διπλό κλικ στα πρωτόκολα στα οποία θέλουμε να επιτρέψουμε την πρόσβαση και αυτά θα εμφανιστούν στην σελίδα Protocols στο Protocols list.


    Εικόνα 6

    Υπάρχει μια ακόμη επιλογή στην οποία έχουμε πρόσβαση στην σελίδα αυτή, και εμφανίζεται εάν κάνουμε κλικ στο Source Ports button. Αυτό εμφανίζει στο προσκήνιο το Source Ports dialog box. Εδώ μας δίνεται η δυνατότητα ελέγχου των επιτρεπόμενων source ports οι οποίες αναφέρονται στις συνδέσεις του συγκεκριμένου κανόνα. Εξ ορισμού είναι επιλεγμένο το Allow traffic from any allowed source port , αλλά εάν θέλουμε να κάνουμε κλείδωμα (lock down) στα source ports, μπορούμε να επιλέξουμε το Limit access to traffic from this range of source ports και εν συνεχεία εισάγουμε τιμές (values) στα From και To text boxes για να υποδηλώσουμε αυτά τα source ports.


    Εικόνα 7

    Στην συγκεκριμένη χρονική στιγμη δεν θα επιλέξουμε καμία ειδικά specific source ports.  Θα επιλέξουμε την επιλογή All outbound traffic και εν συνεχεία κάνουμε κλικ στο Next.

    Η επόμενη σελίδα είναι η σελίδα Access Rule Sources. Εδώ μπορούμε να επιλέξουμε την τοποθεσία (location) στην οποία βρίσκονται οι υπολογιστές πίσω από τον TMG firewall στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Κάνουμε κλικ στο Add button και εν συνεχελια θα εμφανιστεί το Add Network Entities
    dialog box. Κάνουμε κλικ στον φάκελο ο οποίος περιέχει  το network element το οποίο υποδηλώνει την πηγαία τοποθεσία (source location) των υπολογιστών στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Στο παράδειγμα αυτό, θα ρυθμίσουμε τον κανόνα αυτό να έχει εφαρμογή σε όλους τους υπολογιστές οι οποίοι βρίσκονται στο εσωτερικό δίκτυο (Internal Network), κάνοντας κλικ στο φάκελο
    Networks και εν συνεχεία κάνουμε διπλό κλικ στο Internal Network.


    Εικόνα 8

    Αφού επιλέξουμε το source Network ως το εξ ορισμού Internal Network κάνοντας κλικ στο Next, θα εμφανιστεί η επόμενη σελίδα, η οποία είναι η Access Rule Destinations. Εδώ καθορίζουμε τον-ους προορισμό-ούς (destinations) στους οποίους θέλουμε οι υπολογιστές από την πηγαία τοποθεσία (source location), τους οποίους είχαμε επιλέξει προηγουμένως να έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η σελίδα Access Rule Destinations λειτουργεί όπως και η προηγούμενη σελίδα, όπου κάνουμε κλικ στο Add button και εν συνεχεία στο εμφανιζόμενο Add Network Entities
    dialog box, κάνουμε κλικ στον φάκελο και αμέσως μετά διπλό κλικ στο στοιχείο του δικτύου (network
    element) για το οποίο θέλουμε να επιτρέψουμε την πρόσβαση χρησιμοποιώντας αυτόν τον κανόνα. Στο παράδειγμά μας θα επιλέξουμε το εξ ορισμού επιλεγμένο External network.


    Εικόνα 9

    Η επόμενη σελίδα του wizard είναι η σελίδα User Sets. Σε αυτήν την σελίδα καθορίζουμε τους χρήστες στους οποίους πρόκειται να εφαρμόσουμε αυτόν τον κανόνα. Εξ ορισμού τα Access Rules εφαρμόζονται σε όλους τους χρήστες. Τώρα ο ορισμός “all users” μπορεί να μην αντιστοιχεί σε αυτό το οποίο επιθυμούμε, σε σχέση με αυτό το οποίο καθορίζει ο TMG firewall ως όλοι οι χρήστες (all users). Το λογικό είναι ότι αναφερόμαστε με τον όρο “all users”, ο οποίος θα εφαρμοστεί σε όλους τους λογαριασμούς των χρηστών στον οργανισμό / επιχείριση στον οποίο εργαζόμαστε. Δυστυχώς είναι ΛΑΘΟΣ!!! Ο όρος “All users”
    όσον αφορά τον TMG firewall’s αναφέρεται στους ανώνυμους χρήστες (anonymous users) – με άλλα λόγια είναι μη εξουσιοδοτημένοι χρήστες, και επακριβώς αναφερόμαστε στα unauthenticated connections. Εάν κάνουμε κλικ στο Add button, μπορούμε να επιλέξουμε διαφορετικούς χρήστες, όπως οι All Authenticated Users ή το System and Network Service.
    Μπορούμε επίσης να δημιουργήσουμε custom user sets βασισμένα σε λογαριασμούς Active Directory ή
    RADIUS αντίστοιχα. Θα αναφερθούμε σε αυτό στο επόμενο άρθρο. Στο παράδειγμα αυτό θα επιλέξουμε την επιλογή All Users και εν συνεχεία κάνουμε κλικ στο Next για να συνεχίσουμε στην επόμενη σελίδα.


    Εικόνα 10

    Η τελευταία σελίδα του wizard είναι η σελίδα Completing the New Access Rule Wizard. Εδώ κάνουμε επισκόπηση των ρυθμίσεών μας και κάνουμε κλικ στο Finish.


    Εικόνα 11

    Αμέσως μετά την δημιουργία του κανόνα, αυτός δεν εφαρμόζεται παρά μόνον αφότου κάνουμε κλικ στο Apply button στην κορυφή του μεσαίου pane της TMG firewall console. Έτσι θα κάνουμε κλικ αμέσως στο Apply button.


    Εικόνα 12

    Επιπρόσθετες Επιλογές

    Αφότου κάνουμε κλικ στο Apply, τότε ενφανίζεται το Configuration Change Description
    dialog box. Στο σημείο μας παρέχεται η δυνατότητα προσθήκης περιγραφής της αλλαγής η οποία έλαβε χώρα όσον αφορά το firewall policy με συνέπεια αυτή να εμφανιστεί στο change log. το
    change log είναι εξαιρετικά χρήσιμο ιδαιτέρως όταν πρόκειται να ανατρέξουμε σε παλαιότερες ενέργειες οι οποίες πραγματοποιήθηκαν από κάποιον άλλον administrator και άλλαξαν το firewall policy με αποτέλεσμα το σύστημα να μην λειτουργεί όπως θα θέλαμε.

    Σημεώστε επίσης ότι έχουμε την επιλογή του back up του firewall policy κάνοντας κλικ στο Export
    button σε αυτό το σημείο. Αυτή η διαδικασία μας επιτρέπει να έχουμε πάντοτε διαθέσιμο ένα αντίγραφο ασφαλείας των ρυθμίσεων (backup of the
    configuration), έτσι ώστε να μπορούμε εύκολα να επιστρέψουμε πίσω στο σημείο που ήταν το σύστημα πριν από τις αλλαγές. Επιπροσθέτως έχουμε την επιλογή να μην εμφανιστεί το prompt ξανά στο μέλλον, κάτι το οποίο δεν το συνιστώ, διότι πολύ απλά θα διαπιστώσετε την χρησιμότητα αυτού του dialog box συνεχώς στο μέλον. Έτσι λοιπό κάνουμε κλικ στο Apply.


    Εικόνα 13

    Το Saving Configuration Changes dialog box εμφανίζεται αμέσως και μας κοινοποιεί ότι τα firewall policy settings αποθηκεύτηκαν στο configuration
    storage. Σημειώστε εδώ ότι την παρατήρηση που εμφανίζεται και λέει ότι Existing client connections will be
    reevaluated according to the new configuration. Client connections not
    matching the newly enforced policy will be dropped. Αυτό αποτελεί ένα καινούριο χαρακτηριστικό του TMG firewall. Με το ISA firewall, κάθε καινούρια firewall policy εφαρμόζεταισε νέες συνδέσεις και σε ήδη υπάρχουσες. Αυτό το στοιχείο από μόνο του αποτελεί σημαντική βελτίωση και αποτελεί από μόνο του λόγο για τον οποίο θα πρέπει να προχωρήσουμε στην αναβάθμιση από τον ISA firewall στον TMG firewall.


    Εικόνα 14

    Ο καινούριος κανόνας πλέον εμφανίζεται στο firewall policy list, όπως αυτό παρουσιάζεται στην παρακάτω εικόνα. Η θέση του στην λίστα εξαρτάται από το σημείο στο οποίο κάναμε κλικ όταν ξεκινησαμε τον wizard. Παρόλα αυτά, όπως θα σας παρουσιάσω στο επόμενο άρθρο μπορούμε να μετακινησουμε έναν κανονα πάνω ή κάτω στην λίστα αλλάζοντάς του την θέση του.


    Εικόνα 15

    Συμπέρασμα
    Ολοκληρώνοντας, σε αυτό το άρθρο σκοπός μου ήταν η παρουσιάση των βασικών χαρακτηριστικών των Access Rules για έναν νέο firewall admin. Οι Access Rules χρησιμοποιούνται για να ελέγχουν το traffic moving το οποίο εξέρχεται (outbound) από ένα προστατευμένο δίκτυο από τον TMG σε κάποιο άλλο δίκτυο. Εξ ορισμού δεν υπάρχουν Access Rules και κανένα traffic δεν διακινείται διαμέσου του TMG firewall. Ένας An Access Rule πρέπει να δημιουργηθεί για να επιτρέψει το outbound traffic. Οι Access Rules μας επιτρέπουν τον έλεγχο του traffic, βασιζόμενοι σε μια σειρά παραγόντων, όπως οι source location, destination location, οι χρήστες (users), και τα πρωτόκολα τα οποία χρησιμοποιούνται. Οπωσδήποτε υπάρχουν και άλλες επιλογές οι οποίες θα παρουσιαστούν στο επόμενο άρθρο.
  25. Jordan_Tsafaridis
    Στο δεύτερο μέρος της σειράς άρθρων τα οποία αφορούν τον DPM 2010, θα ασχοληθούμε με την την εγκατάσταση, ρύθμιση και χρήση του DPM 2010 για να υλοποιήσουμε backup και restore σε virtual machines και Hyper-V servers.
    Εισαγωγή

    Όπως αναφέρθηκα και στο εισαγωγικό κείμενο, ο σκοπός του συγκεκριμένου άρθρου είναι η ρύθμιση των αποθηκευτικών μέσων - configuring storage and settings - στον DPM 2010 έτσι ώστε να είναι δυνατόν πραγματοποιήσουμε backup και restore σε Hyper-V servers και virtual machines. Το συγκεκριμένο άρθρο προϋποθέτει ότι έχουμε ολοκληρώσει την εγκατάσταση του DPM 2010 όπως αυτή περιγράφεται λεπτομερειακά στο πρώτο άρθρο της σειράς.
    Τώρα αυτό το οποίο χρειαζόμαστε είναι να ρυθμίσουμε τον DPM 2010 σε σχέση με τα διαθέσιμα αποθηκευτικά μέσα και εν συνεχεία να διαμορφώσουμε τις ρυθμίσεις του έστι ώστε να μπορούμε να κάνουμε backup και restore των Hyper-V servers οι οποίοι είναι εγκατεστημένοι στο περιβάλλον εργασίας μας.

    Απαιτήσεις σε αποθηκευτικά μέσα (Storage Requirements)


    Ο DPM απαιτεί τα αποθηκευτικά μέσα (storage) να είναι τοπικά συνεδεμένα (locally attached),  πριν αυτά χρησιμοποιηθούν από τον DPM σαν backup storage. Ο DPM μπορεί να χρησιμοποιήσει direct-attached storage
    (DAS), ή storage area network (SAN) devices, τα οποία συνδέονται με το υπολογιστικό σύστημα στο οποίο είναι εγκατεστημένος ο DPM διαμέσου
    iSCSI ή fibre channel connections. Ο DPM δεν μπορεί να χρησιμοποιήσει κάποιο storage το οποίο έχει αναγνωριστεί ως removable media όπως USB, IEEE 1394 (Firewire), ή άλλα μέσα όπως μια compact flash. Αυτό γίνεται άμεσα αντιληπτό διότι αποθηκευτικά μέσα αυτής της μορφής δεν βρίσκονται πάντοτε συνδεδεμένα στο υπολογιστικό σύστημα, όταν αυτό τα χρειάζεται, αλλά κυρίως γιατί δεν υποστηρίζουν το VSS.
    Οποιαδήποτε volumes τα οποία έχουν ρυθμιστεί ως DPM storage πρέπει να είναι dedicated στον
    DPM, χωρίς να χρειάζεται η συνολική χωρητικότητα του αποθηκευτικού μέσου να είναι σεσμευμένη (allocated) για χρήση από τον DPM.

    Storage Pools


    Ένα Storage pool αποτελείται από έναν ή περισσότερους δίσκους ρυθμισμένους σε μια ομάδα (set) τους οποίους ο DPM χρησιμοποιεί για να αποθηκεύσει replicas και recovery points. Πριν από την πραγματοποίηση του πρώτου backup με τον DPM, ένα storage pool πρέπει να δημιουργηθεί, στο οποίο προστίθενται ένας ή περισσότεροι δίσκοι. Μία replica είναι ένα πλήρες αντίγραφο (copy) του protected
    data source το οποίο βρίσκεται αποθηκευμένο (residing) στον DPM server. Μία replica δημιουργείται για κάθε
    protected data source το οποίο έχει οριστεί μέσα σε ένα protection group. Η δυνατότητα μετεγκατάστασης (Co-location) επιτρέπει πολλαπλές replicas από διαφορετικά protected data sources τα οποία είναι αποθηκευμένα (residing) στο ίδιο volume. Ένα protection group αποτελεί μια συλλογή από protected data
    sources τα οποία μοιράζονται μια κοινή ρύθμιση και ένα χρονοδιάγραμμα (common configuration and schedule) για την προστασία των δεδομένων.

    Όταν προσθέτουμε έναν δίσκο σε ένα storage pool, αυτός ο δίσκος δεν πρέπει να έχει κανένα
    partition. Ο DPM αναλαμβάνει πλήρως την διαχείριση του δίσκου,
    εμπεριέχοντας το format του δίσκου, διαγράφοντας τα οποιαδήποτε δεδομένα βρίσκονταν αποθηκευμένα σε αυτόν πριν αυτός προστεθεί στο συγκεκριμένο storage pool. Επίσης δεν είναι δυνατόν να χρησιμοποιήσουμε έναν system disk στον DPM server ως storage pool storage.

    Προσθέτοντας δίσκους στο Storage Pool


    Όπως τόνισα και προηγουμένως, οι όποιοι δίσκοι πρόκειται να χρησιμοποιηθούν από τον DPM ως storage των replicas και των recovery points, δεν πρέπει να χρησιμοποιούνται από τον DPM server.

    Χρησιμοποιήστε την παρακάτω διαδικασία για να επαληθεύσεται ότι οι δίσκοι έχουν ρυθμιστεί σωστά για να μπορούν να προστεθούν στο DPM storage pool.

    Προσθέστε έναν physical disk, iSCSI LUN ή SAN LUN στον DPM server
    Aνοίγουμε το Disk Management MMC (diskmgmt.msc)

    Figure
    1

    Βρίσκουμε τον δίσκο τον οποίο θέλουμε να προσθέσουμε στο Storage Pool μέσα από την λίστα των δίσκων ο οποίος είναι συνήθως στο τέλος της οθόνης (bottom of the screen). Ο δίσκος θα πρέπει να παρουσιάζεται ως offline.

    Figure
    2

    Κάνουμε δεξί κλικ στο disk button για τον συγκεκριμένο δίσκο και επιλέγουμε Online. Η διαδικασία αυτή μετατρέπει τον δίσκο σε κατάσταση online στον server σε μορφή raw disk, χωρίς να ειναι εγκαινιασμένος (not initialized) και χωρίς να έχουν καθοριστεί partitions.

    Figure
    3

    Σε αυτό το σημείο έχουμε έναν δίσκο ο οποίος είναι έτοιμος να προστεθεί στο συγκεκριμένο storage
    pool.


    Figure
    4

    Χρησιμοποιούμε την παρακάτω διαδικασία για να προσθέσουμε τον δίσκο στο DPM 2010 storage
    pool:

    Ανοίγουμε το DPM 2010 administrative console

    Figure
    5

    Κάνουμε κλικ στο Management button

    Figure
    6

    Εν συνεχεία κάνουμε κλικ στο Disks Tab

    Figure
    7

    Κάνουμε κλικ στο add option στο δεξιό (right) menu για να προσθέσουμε δίσκους στο storage pool.


    Figure
    8

    Θα παρατηρήσετε ότι ο δίσκος τον οποίο κάνατε online εμφανίζεται στην Available Disks list στα αριστερά της οθόνης. Κάνουμε κλικ στον δίσκο και τον επιλέγουμε, και αμέσως μετά κάνουμε κλικ στο Add για να προσθέσουμε τον δίσκο στην επιλεγμένη λίστα.


    Figure
    9

    Κάνουμε κλικ στο OK για να προσθέσουμε τον δίσκο στο storage pool

    Figure
    10

    Μας παρέχεται η δυνατότητα να προσθέσουμε πολλαπλούς δίσκους στο storage pool κατά την αρχική ρύθμιση (initial
    configuration), ή να προσθέσουμε δίσκους αργότερα ακολουθώντας την ίδια διαδικασία.

    Custom Volumes


    Δεδομένου του ότι το DPM storage pool αποτελεί την ενδεδειγμένη λύση για τις περισσότερες εφαρμογές, εντούτοις μερικές φορές θέλουμε να έχουμε καλύτερο έλεγχο όσον αφορά το storage το οποίο χρησιμοποιείται για ένα συγκεκριμένο protection
    group ή γιατί θέλουμε να ορίσουμε multiple tiers of storage για λόγους απόδοσης (performance
    requirements). Το Storage pool δεν έχει την δυνατότητα να δημιουργήσει multiple tiers of storage, αλλά υπάρχει ένας τρόπος να δημιουργήσουμε ένα custom volume το οποίο θα μπορεί να χρησιμοποιηθεί για replica ή ως recovery point storage.

    Ένα custom volume είναι ένα volume το οποίο δεν έχει γίνει assigned στο storage
    pool, αλλά παρόλα αυτά είναι διαθέσιμο στον DPM server.  Ένας δίσκος ή ένα LUN μπορούν να διασπαστούν σε πολλαπλά volumes. Κάθε ένα από αυτά τα volumes μπορεί να χρησιμοποιηθεί ως custom
    volume.

    Για να μπορέσουμε να χρησιμοποιήσουμε τα custom volumes θα πρέπει για ένα protection group data
    source, να προσθέσουμε δύο volumes στον DPM server. Το ένα volume θα χρησιμοποιηθεί για την αποθήκευση των replicas και το άλλο volume θα χρησιμοποιηθεί για την αποθήκευση των recovery
    points. Επιπροσθέτως θα πρέπει να έχουμε δύο custom volumes για κάθε data
    source τα οποία θέλουμε να προστατεύσουμε και εμπεριέχονται μέσα σε ένα protection group.

    Για παράδειγμα, εάν έχουμε επιλέξει να προστατεύσουμε το C: volume του DPM
    server και το system state, θα χρειαστούμε δύο custom volumes για να προστεύσουμε το C: και δύο επιπλέον custom volumes για να προστεύσουμε το system
    state.  Σημειώστε ότι είναι δυνατόν να προστετεύσουμε ένα ή περισσότερα μέλη (members) μέσα σε ένα protection group κάνοντας χρήση custom volumes ενώ ταυτόχρονα αφήνουμε τα εναπομείναντα data
    sources να προστατεύονται χρησιμοποιώντας το storage pool.

    Για να δημιουργήσουμε ένα custom volume, διαδικασία την οποία μπορείται να εκλάβεται ως εργασία (assignment), ακολουθούμε τα παρακάτω βήματα :

    Προσθέτουμε δίσκους/LUNs στον DPM server ο οποίος χρησιμοποιείται για την δημιουργία custom volumes
    Μετρέπουμε τους Δίσκους/LUNs σε κατάσταση online
    Δημιουργούμε simple volumes σε κάθε disk/LUN. Έχουμε επίσης την δυαντότητα να δημιουργήσουμε ένα single volume ανά disk/LUN ή μπορούμε να δημιουργήσουμε multiple volumes.
    Όταν προχωρούμε στην διαδικασία του simple volume wizard, δεν πρέπει να κάνουμε assign drive letters στα volumes, αλλά μπορούμε να κάνουμε format σε αυτά.

    Επίσης θα πρέπει να βεβαιωθούμε ότι έχουμε κάνει assign διακριτά names στα volumes έτσι ώστε να γνωρίζουμε εκ των προτέρων γιατί εργασία πρόκειται να χρησιμοποιηθούν.
    Αριθμομηχανή αποθηκευτικών χώρων (Storage Calculator)


    Η σχεδίαση και η σωστή πρόβλεψη για τις απαιτήσεις σε αποθηκευτικά μέσα (storage requirements), είναι ένα εξαιρετικά σημαντικό βήμα για την υλοποίηση ενός περιβάλλοντος εργασίας DPM 2010 server. Συνεπώς όχι μόνον θα πρέπει να καθορίσουμε εξ αρχής το σωστό tier of storage το οποίο θα απαιτήσει το κάθε data source, αλλά ταυτόχρονα θα πρέπει να σχεδιάσουμε και να καταγράψουμε το μέγεθος του storage pool και κάθε ένα ξεχωριστά τα οποιαδήποτε custom volumes θα χρειαστούν.

    Η Microsoft έχει δημιουργήσει πριν από εμάς για εμάς ένα storage calculator tool το οποίο μπορεί να μας βοηθήσει έτσι ώστε να ελαχιστοποιήσουμε τον χρόνο εργασίας και το stress της διαδικασίας του storage planning.  Το storage calculator είναι διαθέσιμο από την Microsoft χρησιμοποιώντας αυτό το link.

    Το storage calculator είναι ένα Excel spreadsheet το οποίο μας επιτρέπει να εισάγουμε πληροφορίες για τον DPM server, τους Hyper-V hosts, και τις
    virtual machines τις οποίες θέλουμε να προστατεύσουμε. Τα αποτελέσματα του
    calculator αποτελούν ένα storage model το οποίο μπορεί να χρησιμοποιηθεί ως την βάση για τον σχεδιασμό ενός καινούριου περιβάλλοντος DPM 2010 server.

    Συμπέρασμα


    Σε αυτό το άρθρο επικεντρωθήκαμε στην ρύθμιση των αποθηκευτικών μέσων (storage) στον DPM 2010. Η διαδικασία περιλαμβάνει την πρόσθεση disks/LUNs στον DPM server έστι ώστε αυτοί να χρησιμοποιηθούν σε ένα storage
    pool ή ως custom volumes, την δημιουργία ενός storage pool, και τέλος την δημιουργία custom
    volumes. Στο επόμενο άρθρο της σειράς DPM 2010 θα ασχοληθούμε με την δημιουργία protection groups για το backup και recovery των Hyper-V R2 servers.
     
×
×
  • Create New...