Confessions Of A Dangerous Mind

For those of that have been playing StarCraft 2 for the past few weeks since the release, you might have noticed that your GPU is overheating due to a game engine problem.

Although the solution to it is quite simple and can be found in many places ( including bottom of this post ) I have decided to go and explain the problem, and not just the solution.

Lets first explain how a graphics engine works ( super high level ) :

• once all graphics are loaded to the graphics card memory, the math/physics engine is then able to start drawing the frame. given all inputs from the game engine and the scene.
• The frame is then being calculated based on the scene and objects, and at the end its being drawn on the screen.
• Obviously some cards are fasted and can draw frames at a much higher frame rate… but that means that the game will be out of sync, or will be really fast, so there is a time axis synchronization on the top of it. so if your computer’s GPU is slow, you will play at the same rate, but will see less frames, or less of a smooth movement.

The Problem :

In StarCraft 2, the game has no frame limit by nature, which is very noticeable in the game’s Menus and empty terrains with no/few units …

What happens is that the GPU has all of the graphics, but has nearly no calculations to make in order to build the frame to draw, so it can draw a lot more frames in less time, which just heats the GPU and may cause black screens/crashes of the system.

The Fix :

Blizzard the magnificent who already got lots of questions from its customers, has offered a solution, which is to edit the “Documents'\StarCraft II\Variables.txt” file and add the two following lines :

frameratecap=60
frameratecapGlue=30

This effectively adds a frame rate limiter to the game, and holds it from drawing too many frames, if you got a strong GPU, you may want to adjust the values up a notch. Thanks Blizzard, GG.

Labels: solution, starcraft

Posted by barry at 3:08 PM | Link | Comments

Recently, I had to build a workstation for myself that is based on Windows, and will be able to replace my laptop for some home office tasks. and i had a Windows 7 Ultimate trial that i was playing with for a few days, and already installed lots of the required software, and figured i will then just need a license for it and continue to work…

The day has come, and the trial period expired, when i discovered that the only license i actually have is for a Professional edition. so i though, the best way will be to downgrade the system, should be easy right ?

The Windows installation mechanism works only in one direction, from lower to higher , so you can upgrade from Home to Professional , and from Professional to Ultimate for example, but not the other way around.

If you try to use the Upgrade tool, it will halt on this limitation , and will pop up a message like “Windows 7 Ultimate cannot be upgraded to Windows 7 Professional” and asks you to run a fresh install …

Well, there is a solution that involves some Windows Registry editing, which can nail this sucker down.

Step-By-Step:

1. using the Start menu, type “regedit” and go to \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
2. you will get the following registry values that you need to alter
3. change the values of
1. value of “EditionID” from “Ultimate” to “Professional”
2. value of “ProductName” from “Windows 7 Ultimate” to “Windows 7 Professional”
4. The Windows 7 Upgrade utility will be now fooled , and you can upgrade with no real issue.

Labels: issues, software, solution

Posted by barry at 11:32 AM | Link | Comments

So i have seen some posts going on the Internet regarding problems People are having, trying to install MySQL on Debian, so i decided to give it a go – and install the latest GA MySQL on the latest Debian.

I am assuming that this is a dedicated Database server machine , so i installed it from scratch , using only the first CD image of the Debian 5.0.3 installation.

Just follow the Steps:

1. install debian 5.0.3 from cd-1 , when choice of what to install , 
   leave only "system" so its nice and small
2. edit /etc/apt/sources.list and add to it ->
       deb http://packages.dotdeb.org lenny all 
       deb http://http.us.debian.org/debian stable main contrib non-free
3. apt-get update
4. apt-get install openssh-server
5. apt-get install mysql-server-5.1

Thats about it.

Labels: database, guide, mysql, solution

Posted by barry at 12:49 PM | Link | Comments

I have decided to share a short technical experience that i had recently. so in my pursue of a way to build a Home Linux Storage System , and also have a Software iSCSI interface to connect to it , since my home setup of hardware wont suffer an HBA addition . i did some research around sofware iSCSI. and although it is CPU Intensive, this might assist those of you that have a need for external disks.

the concept was to have a central home storage , have only small disks on my lab computers that will just run the thin OS , and then mount the drives from a central server – to which i connected a 1000/100/10 Switch just for data.

so the lab was divided into two.

1. A Linux Server that owns Physical Drives and serves as an iSCSI Target.

2. A Linux Workstation that needs to mount an external iSCSI disk Initiator.

 

1. How To Build The Linux Storage Server :

Install CENTOS 5.1
- yum update ( to update the OS to the latest )
- yum install kernel-devel ( optional )
- open firewall ports
- rpm -ivh iscsitarget-0.4.15-4.el5.i386.rpm
- rpm -ivh iscsitarget-kmdl-2.6.18-128.1.10.el5-0.4.15-4.el5.i686.rpm
- mkdir /home/iSCSI
- dd if=/dev/zero of=/home/iSCSI/LUN0 bs=1M count=512    ( 512 is size of disk in MB)
- vi /etc/ietd.conf and add the following lines
      Target iqn.2009-06.com.example:mydisk
      IncomingUser username password
      OutgoingUser username password
      Lun 0 Path=/home/iSCSI/LUN0,Type=fileio
      Alias mydisk
      InitialR2T Yes
      ImmediateData Yes
      MaxOutstandingR2T 8
- vi /etc/initiators.allow 
      add -> ALL ALL ( note : This is an access list )
- reboot ( to make new kernel appear and load the module )
- /etc/init.d/iscsi-target restart
- validate in tail -f /var/log/messages

 

2. How To Have The Initiator Mount The Drive On The Workstation :

( my workstation is also a centos in this case )

-  rpm -i iscsi-initiator-utils-6.2.0.868-0.18.el5.i386.rpm ( this is the util )

- vi /etc/iscsi/iscsid.conf
    #enable the following :
        node.session.auth.username = username
        node.session.auth.password = password
        discovery.sendtargets.auth.username = username
        discovery.sendtargets.auth.password = password
- /etc/init.d/iscsi start
- iscsiadm -m discovery -t sendtargets -p <ip of server>
- /etc/init.d/iscsi restart
- tail -f /var/log/messages --> to find the device representation
- fdisk /dev/sdd --> if the disk is sdd ...
        n primary partition
        w write table
- mkfs.ext3 /dev/sdd1
- mkdir /mnt/iscsi
- mount /dev/sdd1 /mnt/iscsi
- chkconfig iscsi on --> to mount at boot time auto
- vi /etc/fstab
         add line -> /dev/sdd1 /mnt/iscsi ext3 _netdev 0 0

by the way , mounting an iSCSI using Windows Vista is also an easy task .. play with it :)

 

Anyway, Thats it.

Labels: concepts, guide, iscsi, linux, solution

Posted by barry at 12:41 PM | Link | Comments

בין לבין בדקות הקצרות הפנויות שיש לי בתקופה האחרונה, עוברות מספר מחשבות אשר זכרתי שרציתי לתת עליהן את הדעת אך לא הספקתי. אחת מהן היא הדרך לטפל בנושא הP2P בארגון.

אחת הדרישות העיקריות של מנהלי מערכות ממערכות בקרת הגישה שלהם היא לבצע חסימה לP2P , שכאשר אני מתאר P2P אני מתכוון לא רק לקאזה ודומיו , אלא כמובן גם לSkype ודומיו.

דעתי הכנה בנושא היא - לא לבצע חסימה , אלא לבצע Shaping לתעבורה זו לניצולת בלתי אפשרית של עד 2K במערכות בקרת הגישה והניתוב.

הסיבה היא טכנית גרידה -

כאשר אפליקצית תקשורת כגון SKYPE מנסה ליצור קשר החוצה עם העולם , היא פונה לאחד ממאות הכתובות שיש בחוץ ופונה אליו בפורטים מסוכמים מראש על מנת לבצע גישה החוצה לשיחה. אך אם אין גישה שכזו בשל PORT חסום או IPS אשר מנסה לשבור את הבניה של התקשורת - התוכנה מתחילה להשתולל ולחפש דרך אחרת לצאת החוצה כדי לתת שירות ( וספציפית Skype מתמחים בCovert Channeling ) למשל על ידי יציאה דרך HTTP וכדומה. ולכן , בעצם ברגע שחסמנו SKYPE - ייתכן ולא באמת חסמנו , אך מה שכן , בטוח גרמנו לרעש ברשת , כי כל מחשב שינסה לגשת יעמיס לנו על הציוד ללא סיבה נראית לעין.

ברגע שנבצע SHAPING לתעבורה נמוכה - האפליקציה מזהה דרך גישה החוצה, ולכן לא משתוללת , אך למשתמש אשר מנסה לגשת - זה לא אפקטיבי . כי איזו שיחה אפשר לעשות מתוך ארגון של 1000 עובדים , על גבי 2K בודדים... זה הופך לזניח , והמשתמשים מוותרים על נסיונות הקמת השיחה מהר מאוד.

Dont Block It , Shape It.

Labels: architecture, consulting, service, solution

Posted by barry at 8:16 PM | Link | Comments

טוב, סיימתי אתמול את תהליך הפתיחה של הiPhone לגרסה 1.1.2 .

התהליך אשר כלל הורדת גרסה ל1.1.1 + ביצוע JailBreak + העלאת מספר אפליקציות + העלאה לגרסה 1.1.2 שוב + JailBreak שני ... וכמובן השימוש בשבב x-sim חביב הסתיים בהצלחה

עובד ברשת Cellcom.

מצ"ב תמונה של הצ'יפ ( נצמד לsim )

השיטה די פשוטה , בכל פעם שהiphone מנסה לעלות לרשת , הוא משדר בקשה להזדהות הרשת. הכרטיס מזהה את הבקשה ומחזיר לו "אני רשת at&t" ... וזה עובד.

בכל מקרה , תודה ל"kukuriku"  על הצ'יפ. ( iphones.co.il/forum )

 

 

עדכון - 20/2/2008

אני כבר לא משתמש בTURBOSIM , קיימת כיום פריצה באמצעות כלי תוכנתי . ולכל הגרסאות.

האפליקציה נקראת ZiPhone וניתנת להורדה ב www.ziphone.org .

1.1.3 עובד , ועם עברית , והכל טוב.

Labels: cellular, hacking, solution

Posted by barry at 2:05 PM | Link | Comments

נשאלתי לאחרונה שאלה מעניינת ונכונה . מדוע כלי AV אשר מופיעים באתרי כל חברות האנטיוירוס - אינם יכולים לנקות וירוסים מהמחשבים אלא רק לסרוק ולאתר אותם ?

ובכן, ראשית למי שלא מכיר , כל חברת אנטיוירוס כיום מתהדרת במנוע זיהוי המזיקים שלה , בכך שהיא מאפשרת בעצם למשתמש להוריד ActiveX למחשב המקומי , אשר מריץ בסביבת Sandbox את כלי הסריקה לוירוסים של אותה חברה.

מדוע לא ניתן לנקות אלא רק לסרוק ?

כאשר אנו עובדים במוד של Remote Service , אין דרך טבעית לאפליקציה לעבוד מול סביבת הI/O של מערכת ההפעלה . זאת בשל הגבלות ההגנה בשכבות של מבנה מע' ההפעלה , ובנוסף הבידוד בין סביבת מערכות הFileSystem מסביבות הActiveX השונות.

לעומת זאת , אחד הפתרונות שניתן ליישם במידה ומצאנו וירוס או מזיק אחר , הוא בדיקה - האם היצרן משחרר Patch אשר מגן ספציפית כנגד הVirus הזה . ואז במידה ועוד לא מאוחר - להוריד כלי אשר מנקה בדיוק את אותו וירוס אשר נדבקנו בו - ישירות מאתר היצרן.

Labels: architecture, service, solution, threats

Posted by barry at 7:17 AM | Link | Comments

ואחרי כותרת מפוצצת שכזו וכמובן אחרי שתפסתי את תשומת הלב שחיפשתי - אפשר להתחיל לדבר.

בתקופה האחרונה יצא לי לחקור רבות אודות טכנולוגיות FW שונות ומוטציות שהן עברו מאז שהומצא מנגנון הStateful Inspection ( נסמן כ "SI" כשנדרש ) וכמובן הטכנולוגיות הללו התפתחו ולקחו את עולם הNetwork Firewall לעולמות רחוקים ומתקדמים יותר , שהופכים את הטכנולוגיות

ראשית, מהו Stateful Inspection :

באופן מאוד מאוד כללי , מדובר בטכנולוגיה אשר מתבססת על טבלאות הנקראות State Tables אשר מכילות את פרטים אודות כל TCP Stream שעובר דרך המערכת. למעשה , עבור כל SESSION נשמרים פרטים מזהים אודות חלון הTCP והפרטים השונים לגבי המשך הSESSION , ולכן כל פאקט חדש שיגיע יבדק אל מול הטבלה למציאת שייכות , אם שייך - יועבר למנוע הROUTING , אם לא - יבדק אל מול הRULEBASE של אותה מערכת FW. המאפיין הכללי כמובן הוא מקור , יעד , ופורט. הומצאה במקור על ידי CheckPoint

ובכן לפני מספר שנים בודדות , עם עליית טכנולוגיות הUTM , התווספו מספר מנגנונים לעולם הSI שעיקרם הוא הDPI או בפירוט - Deep Packet Inspection. הרעיון מאחורי הקונספט הוא - להשתמש במנגנוני Content Inspection כאלו או אחרים , על מנת לוודא שהPACKET אכן תקין ונקי ממזיקים , ולשמש כשכבה נוספת במנגנון ההחלטה לגבי הכנסה לState Table. במקרה של DPI אגב , הסריקה ממשיכה להתבצע לכל אורך התהליך בכדי לשמור על תעבורה נקיה ככל האפשר. מה שכבר הופך את טכנולוגיית הSI כריקה ולא משמעותית , כי ההסתכלות צריכה להיות מעבר לLayer 4 ויותר לכיוון Layer 7. ולשם צריך לכוון.

עד היום למעשה כל FW עדיין מבסס חוקים על פי Source/Dest/Service מבלי באמת להסתכל לתוך אותו הService. וכאן בעצם הבעיה , למרות שהקונספט עובד ועובד טוב, הוא כבר לא מספיק מעמיק בשביל להתמודד עם התקפות מתפתחות שעוברות מוטציות בין שכבות שונות במודל OSI.

לצערנו ( והאמת היא שזה היה צפוי לקרות בשלב זה או אחר ) אפילו הפתרונות הרובסטיים ביותר אינם מספקים להתקפות של מחר.

לדוגמא : כל אפליקציה מתוחכמת יודעת היום לעבוד במספר דרכים , לעבור דרך SSL או בכל מודל אחר כמו למשל מעבר לפורטים לא סטנדרטיים, וכל זאת על מנת להסתיר את זהות האפליקציה. ואז בעצם אנחנו רואים EMULE עובר דרך פורט 80 . וזה כמובן נכון להמון המון המון אפליקציות , כאשר רובן אפילו לא זדוניות.

מה באמת רץ לנו ברשת ?

הBUZZWORD שמתפתח מעולם זה הוא בעצם יצירת דור חדש ( דור 6 ? ) של מערכות FW אשר מוסיף תווך נוסף למערכת ובעצם מהווה האבולוציה האמיתית של עולם ה FW וגורם לSI לקבל את התגית Obsolete. ולמה בעצם - דור חדש של מערכות FW עולה וצף , Application Aware Firewall או בשם אחר Application Categorized Rule Based Security . והכוונה מאוד מעניינת ( ובעלת המון טכנולוגיה מאחוריה ) הקונספט הוא כזה שבו כל STREAM של אפליקציה ניתן לזהות לפי מבנה הPACKETS או מבנה של מספר PACKETS ולהשוות למול DB כזה או אחר , ובכך בעצם לתת משמעות לעמודת הService בחוקי הFW. כלומר - מידע יעבור מעתה לפי 4 שדות שונים - source/destination/port/APPLICATION .

אגב , ברור שפתרונות מסוג זה לא ניתן לבצע בתוכנה בלבד, יש צורך במעבדים מיוחדים ובחומרה שנבנתה במיוחד למטרה זו . קחו למשל אינטגרציה בין סביבת PGP לסביבה שכזו - המערכת צריכה להיות מקושרת עם הKeyring הארגוני , בשביל לפתוח את ההצפנות השונות שעוברות ברשת ולבצע ניתוח למידע המוצפן.    - הOverhead ברשת הוא מטורף, הLatency בלתי נסבל - ולכן הפלטפורמה תמיד מבוססת ASIC ואפיקי BUS אדירים.

גישה מעניינת היא האם יש צורך בהפעלת PROXY LAYER במערכות אלו , או לעבוד בSTREAM מבחינת עומסים , ובעצם עד כמה עמוק אנחנו צריכים לסרוק את התעבורה , אם אנחנו כבר יודעים שזו אכן האפליקציה שלנו , ויתרה מכך - שהיא מתנהגת כפי שרצינו. השקיפות פה נפלאה - כי אני יכול לדעת בעצם כל אפליקציה שעובדת ברמה רשתית אצלי בארגון , ולקבוע מדיניות בLEVEL אחר לגמרי.

Labels: access, design, solution, technology, thesis, threats, utm

Posted by barry at 12:02 PM | Link | Comments

אני בוחר לכתוב הפעם על נושא שמתעלמים ממנו לא מעט, בעיקר ככל שהארגון קטן יותר ופחות מודע לאבטחת המידע בארגון שלו, וגם אצל ארגונים אשר מנוהלים על ידי אנשי סיסטם בלבד , ללא כל התערבות של אנשי תקשורת ואבטחת מידע בתהליכים.

למי שלא יודע , פרט לחברת צ'קפוינט אשר השכילה לכלול בכל פתרון שלה - מערכת לוגים אשר מנוהלת בנפרד או על ידי ניהול מרכזי ( SmartCenter\Eventia ) שאר היצרנים אינם כוללים פתרונות שכאלו במוצר הFW עצמו , ודורשים אלמנט נפרד נוסף על מנת לנהל לוגים , לאגור לוגים ולנתח לוגים. לדוגמא : סיסקו , פורטינט , ג'וניפר , והרשימה ארוכה מאוד ...

למעשה , ארגונים אינם מודעים לחשיבות הלוגים בניתוח תקריות אבטחת מידע, מה המשמעות של הצלבה של נתונים בין תקריות IPS לתקריות AV לתקריות תקשורת וכן הלאה . וכאשר חברות אלו רוכשות את מוצרי האבטחה שלהן , הן אינן לוקחות בחשבון את המטרה העיקרית שלשמה רכשו את המערכות - למנוע חדירה , ויתרה מכך - ללמוד לאחר מעשה מחדירה שהתבצעה.

מה שקורה בעצם , הוא שחברות כמו סיסקו בחרו לבסס את הפתרון שלהן על חומרה. ככזה - ניתן להגיע לביצועים גבוהים פי כמה , ובעלות נמוכה יותר , והTRADEOFF הוא תמיד לוותר על דיסק קשיח לטובת FLASH מאחר וזמני התגובה אחרים בתכלית. אך מוצרים אלו שומרים בד"כ עד 100 רשומות LOG ( זיכרון נדיף ) ומנקות אותו במקרה של RESTART וכדומה , כך כמובן לא ניתן לעקוב אחר אירוע שקרה לפני X זמן.

אני ארחיב ואוסיף שאני מאמין גדול גם בניתור של סביבות הנתבים והמתגים , וזאת על מנת לקבל ערך מוסף של ניתוח אירועים ובעיות ברשת ( בד"כ מוצרי הלוגים תומכים בסטנדרטים כמו SNMP TRAPS וכמו SYSLOG ) . יש לציין שיש לא מעט פתרונות כאלו אשר אינם עולים כסף נוסף - כגון הגרסאות הפשוטות של KIWI SYSLOG וההשקעה החומרתית היא פחות או יותר מחשב מיושן ורשיון לWINDOWS.

בנוסף , על פי כלל הרגולציות ותקני אבטחת המידע, מערכות הלוגים צריכות להישמר כחומר סודי ביותר, על אמצעי מוגן אשר לעתים אפילו מוגדר Secure Site ולכן יש להתחשב בעניין ברצינות.

יש משפט מפורסם שאומר "עוד לא פיטרו אף איש תקשורת על כך שבחר לרכוש סיסקו" , אבל לפי דעתי , אם בכל זאת בחר לרכוש מוצר אבטחה של סיסקו ( כגון ASA או NAC Appliance וכדומה ) , בגלל סיבות כאלו או אחרות פרצו לרשת , ואותו איש תקשורת לא ידע להסביר למה - תהיה זו סיבה טובה עבורו לעדכן קורות חיים. מאחר ומערכת אבטחת מידע לפי כל תקן אפשרי , אמורה לאפשר אכסון לוגים וניתוחם לאחר תקרית.

אני לא מדבר על הטמעה של מערכות SIM\SOC למיניהן , אבל מערכות לוגים בסיסיות - כמו SYSLOG או כמו פתרונות חליפיים , eIQ , FortiAnalyzer , Juniper NSM נדרשים כMandatory כאשר מתכננים כל מערכת אבטחת מידע כלשהי אשר אינה מכילה אלמנט אגירת נתונים פנימי.

Labels: consulting, law, managment, solution

Posted by barry at 12:22 PM | Link | Comments

בעקבות מספר בקשות ושאלות שנשאלתי בדואר אלקטרוני ועל ידי כל מיני חברים ( בעיקר בעקבות הקמת שרת הקבצים הביתי שלי ) החלטתי לבנות מעין מדריך קצר ולעניין, אשר מסביר כיצד מקימים שרת קבצים פשוט מבוסס לינוקס. שימו לב , לא שמתי יותר מידי דגשים על התממשקויות למערכות צד שלישי וכדומה, אלא בעיקר על יצירת מערכת SHARING עובדת עם רמת אבטחה סבירה.

הסיבה לכך שהקמתי את שרת הקבצים הייתה - ריבוי הסרטים , שירים , קליפים , מסמכים ותמונות שיש לי ברשת הביתית שלי , והקושי בנגישות אליהם בכל פעם. החלטתי שאני רוצה לאפשר לכל המחשבים לצפות בסרטים , לנגן שירים ולראות תמונות באותו הזמן , וכמובן בקוד פתוח ובקלות. יחד עם כל שרתי הקבצים הנמכרים כיום לשימוש ביתי במאות דולרים - החלטתי שזה לא בשבילי - אני צריך משהו שאפשר לשדרג כל הזמן , ומשהו שיעלה מעט.

חומרה נדרשת :

המפרט אשר אני ממליץ עליו לצורך הקמת שרת ביתי שכזה :

• מחשב מדף פשוט עד 1000 ש"ח ( ניתן לקנות בכל חנות אינטרנט ) עם בקר SATA ומפרט בסיסי.
• להוסיף הרדיסק SATA לפי הצורך - אני ממליץ 500GB של WD ( בערך 500 ש"ח ).
• להחליף קירור בקירור שקט של 12" למאווררים - ( כ50 ש"ח ).
• כרטיס רשת 10/100 כלשהו, עדיף Intel בגלל התמיכה ללינוקס ( כ 35 ש"ח )

החומרה שלי ( הייתה קיימת , ולכן השתמשתי ) :

אני השתמשתי ב : מחשב VIA EPIA 1200 פשוט עם 256MB זיכרון ( אולי אגדיל ) דיסק קשיח 40GB למע' הפעלה ( IDE ) בקר PCI עבור כרטיס RAID של Sweex ( בחומרה ) שאליו מחוברים 2 דיסקים של 500GB בRAID1 ( זה כי אני תמיד מגזים ) וכמובן ממשק רשתי פשוט של 10/100 של INTEL.

LINUX :

כדאי לדעת צעדי לינוקס בסיסיים בכי להשתמש במדריך הזה , בכדי להקל על עריכת קבצים וההתקנה אותה אין בכוונתי להסביר כאן. לצורך ההקמה נשתמש בCENTOS LINUX 5 אשר ניתן להוריד בחינם מהקישור הבא mirror.isoc.org.il . שימו לב , יש להוריד או DVD או 6 דיסקים , למרות שלא נצטרך את כולם. אגב, כל גרסת לינוקס תתאים. -- יש להתקין את הלינוקס נקי לחלוטין , ולדעתי אין צורך בFIREWALL עליו.

SAMBA :

בלינוקס , הגורם המקשר את סביבת פרוטוקול SMB של חלונות , לבין לינוקס - הוא פרוייקט סמבה , אשר משמש כממשק בין מערכות ההפעלה השונות. בעצם המטרה שלנו היא לקבל SHARE של מחשב הלינוקס - במחשבי החלונות שלנו.

יש להתקין את samba על המחשב , ולהקפיד על גרסה אחרונה כמובן ( בסביבת REDHAT\CENTOS\FEDORA הפקודה היא yum -y install samba )

כעת יש להוסיף משתמשים למערכת , לצורך העניין נקרא למשתמש linuxshare במדריך זה ( למי שלא זוכר , מוסיפים משתמש זה על ידי useradd -m -G users -s /bin/bash linuxshare ) אסמן את שם המשתמש עם קו תחתי מעכשיו , שיהיה קל לשים לב ולשנות בהתאם.

יש לקבוע למשתמש החדש סיסמה על ידי passwd linuxshare

כעת יש לערוך את הקובץ - etc/samba/smb.conf/ אשר מכיל את הקונפיגורציה המתאימה לאפליקציה ויש להכניס את השורות הבאות.

# general definitions
[global]

workgroup = MSHOME
server string = My File Share
log file = /var/log/samba/log.%m
max log size = 50 

# security config
security = user
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny= 0.0.0.0/0

# server password file
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

# shares
[FileServer]
comment = File Server Share
path = /home/linuxshare
valid users = linuxshare
public = no
writable = yes
printable = no
create mask = 0765

הערה : שימו לב לשורת הhosts allow , אשר משמשת כמעין IP FILTER שמאפשר התחברות רק מכתובות הרשת הרלוונטית , יש לשנות בהתאמה , כמובן את 127. רצוי להשאיר כי מדובר בloopback

כעת עלינו להעתיק את קובץ הסיסמאות של מע' ההפעלה בכדי לשייך את המשתמשים הקיימים במערכת למערכת הSAMBA שלנו על ידי -

cat /etc/passwd | mksmbpasswd.sh > /etc/samba/smbpasswd
chmod 600 /etc/samba/smbpasswd

כעת עלינו לקבוע סיסמת משתמש השיתוף על ידי הפקודה

smbpasswd linuxshare

עתה נפעיל את הישום בפעם הראשונה ואף נוסיף אותו לסקריפט העליה של המחשב ( בכדי שיעלה בכל פעם מחדש כמובן )

service smb start
/sbin/chkconfig --level 345 smb on

זהו , כעת לכו ל"שכנים ברשת" והתחברו לשרת שלכם באמצעות השם והסיסמה שבחרתם. במידה ועקבתם אחר כל ההוראות , זה אמור לעבוד.

אולי הייתי מוסיף גם CLAMAV בתור אנטיוירוס שיסרוק כל העתקת קבצים לשרת ( אצלי יש AV רשתי )

אני מאמין גדול בשרתי קבצים ביתיים , אני מאמין שהם מקלים את העבודה,  לטווח ארוך חוסכים באמצעי אכסון ומשאבים - שכן אין צוך שלכל מחשב בבית ( ולי יש 8 פעילים ) יהיה  דיסק קשיח מפוצץ , אלא מספיק שיהיה משהו כמו 80GB למשתמש ממוצע ( אני לא ממוצע כנראה ) ושיהיה שרת קבצים עם רוב האכסון עליו , כך ניתן להגדיר לכל משתמש נפח משלו , או נפח אכסון כללי לכולם , אצלי למשל הMy Documents בסביבת הWindows הוא בעצם Mount לכונן רשתי מתאים.

אגב , ניתן לשלב במערכת גם CLAMAV אשר בודק את הקבצים הנכתבים לדיסק המשותף , אצלי זה מוטמע , אבל פוגע בביצועים ,כשאני אמצא איך לשפר - אני אכתוב מדריך גם לזה פה. בנתיים המחבר בין האלמנטים הוא בunstable ולכן לא רלוונטי.

בהצלחה.

Labels: access, architecture, design, guide, linux, script, service, software, solution

Posted by barry at 9:26 PM | Link | Comments

Labels: english, sbn, script, solution, utm

Posted by barry at 12:08 AM | Link | Comments

בתור מי שראה חלק ניכר ממערכות המחשוב ברשתות ENT בארץ, הופתעתי לא פעם לגלות שאין פתרון Software Deployment מרכזי אמיתי ללקוחות , פרט לפתרונות הWSUS \ SMS של מיקרוסופט. למרות שאלו פתרונות טובים בנישתם - הם נופלים כאשר מדובר באפליקציות של יצרנים אחרים.

על מה אני בעצם מדבר ומה כל הגישטל... בעצם חישבו על מצב בו ארגון בעל 3000 משתמשים חי וקיים מזה תקופה ( אני מניח שבגודל זה - מעל 10 שנים ). וזה אומר שיש תוכנות המותקנות על כל המחשבים בארגון , החל ממערכת ההפעלה , לתיקוני וטלאי אבטחה שונים . גרסאות שונות ומשונות של תוכנות שונות , ביניהן FLASH . וכמובן תוכנות צד שלישי שהמשתמש התקין עבור עצמו. נדרש פתרון מסויים אשר מאפשר לבצע אחידת בכל הרשת , להסיר גרסאות לא רלוונטיות , לעדכן לגרסאות חדשות מה שצריך , להטליא תוכנות מסויימות וכמובן לבצע מעקב שוטף.

הדבר נראה מעניין יותר כאשר אנו מדברים על חוות שרתים מרוחקות אשר פרוסות בעולם , ויש צורך לבצע עדכוני אבטחה \ אפליקציה ממקום מרוכז וכמובן לוודא שהשרת תמיד נמצא במצב תקין שכזה . במקרים כאלו - הפתרונות הללו נדרשים.

בעצם על מה אני מדבר - Software Deployment \ Asset Managment \ Patching Services מרכזיים אשר מטרתם כמובן לוודא ולקיים ארגון ולאפשר לו להמשיך להתקיים בגדילה וכמובן לשמר על רמת אבטחת מידע , עדכניות אפליקטיבית , אחידות אפליקטיבית , ולשמר ידע אודות שינוי התנהגותי במבנה אפליקטיבי של ארגון.

המערכות הלו בד"כ עובדות בתצורת שרת POLICY מרכזי , עם PROXIES ( במידת הצורך ) פזורים באתרים מרוחקים.. וכמובן CLIENT על כל תחנה , אשר מהווה גורם הדיווח וההפעלה על ידי השרת. אציין גם בצורה שהיא טיפטיפה BIAS , אחד הפתרונות האהובים עליי בתחום זה ומנסיוני איתו כמובן - BigFix אשר נראה מעולה ומבדיקותיי בסביבות מעבדה - נראה בעל התושיה הרבה הביותר . כאשר בין המדדים יש את גישת הLINUX\UNIX\WINDOWS\MAC ולא רק סביבה אחת כמובן.
אגב - ישנם מוצרים רבים בתחום זה , חלקם אפילו תוצרת כחול לבן ( Prefix ) , וישנם גם פתרונות מוכוונים DATACENTER ( כגון OPSWARE ) .

אך כמובן שאת המיד הזה תעקלו כאשר תגיעו לנקודה קריטית - בה תהיה ההבנה שמערכת כזו חוסכת לארגון בן 250 עמדות - 1 איש IT אשר מבצע תמיכה באפליקציה ובתחנות . מאחר ורוב התפעול של פיזור אפליקציה , עדכוני גרסה , ושחזור - יכולים להתבצע ממקום מרכזי.

היופי של מערכות כאלו הוא היכולת למשל להחליף מערכות של שרתי AV ( מערכת BIGFIX למשל יכולה לדבר מול אתרי חברות הAV ולדחוף בעצמה את עדכון הDAT האחרון , ודומים לאלה ... ) ולכן ניתן מיידית לחסוך במשאבים מסויימים ( במצב כזה , שימו את החומרה הכי חלשה בארגון לשרת הAV , רק בכדי שיהיה HEARTBEAT ... אני אישית היית שם אותו על VMWARE )

Labels: architecture, design, software, solution

Posted by barry at 9:01 AM | Link | Comments

נראה שאי אפשר עוד להתחמק מהשאלות שהציפו אותי לקוחות וקולגות בתחום שכבת הACCESS כשמדובר בתקשורת בין סניפית לארגונים, האם אפשרי וכיצד ניתן לקיים סביבת NAC בתצורה מורכבת שכזו. ובכן אפשר.

בואו ניקח למשל תצורה קלאסית של רשת MPLS בעלת מספר סניפים , כאשר בכל סניף יש מספר שונה של משתמשים , כמובן ישנו מספר רב של סניפים כאלה , עם סביבות שונות של מערכות הפעלה והמטרה היחידה היא לבצע PORT LEVEL SECURITY.

סתם BRIEF קצר למי שלא מכיר את הפרוטוקול שעליו נדבר - 802.1x - פרוטוקול זה מאפשר בעצם כאחת האפשרויות שלו לבצע הזדהות על מנת לקבל ATTRIBUTE חשוב מאוד , שהוא VLAN . מה הכוונה בעצם - בסביבת 802.1X ( היום כבר כולם מכנים זאת סביבת NAC - Network Admission Control ) כאשר משתמש מתחבר עם כבל למתג הארגוני - הוא אינו מקבל כתובת IP מהרשת הארגונית , או קישוריות לוגית . אלא מקבל כתובת IP זמנית , ומוכנס לתוך VLAN זמני לצורך זיהוי ובדיקת אבטחת מידע, היוזר מגיע לאותה סביבה , יוצר קשר IP עם איזשהו ציוד NAC אשר מריץ עליו בדיקות מרוחקות או מבקש ממנו לבצע בדיקות ( למשל : האם יש לך אנטיוירוס פועל ) ואז לאחר שאומת שהמחשב הוא "נקי" או לחליפין "מותאם לסביבה" המשתמש מקבל בקשת אימות על ידי Certificate או על ידי משתמש וסיסמה. למעשה לאחר שהמשתמש מזין פרטים נכונים , הוא מועבר לVLAN הנכון הארגוני ומקבל IP מDHCP ברשת , ומתחיל לעבוד - התהליך קצר למרות שנשמע ארוך ומסורבל. במידה והמשתמש הזין פרטים לא נכונים , הוא עובר לRESTRICRED VLAN אשר שם בעצם אי אפשר לעשות כלום, אין תחנות עבודה או שרתים וזהבעצם מבוי סתום, אם בדיקת האבטחה בהתחלה נכשלה , מועבר המשתמש לREMIDIATION VLAN שבו יש שרת ניקוי ותאימות ארגונית , אשר בעצם מאפשר למשתמש "להשלים חוסרים" ,למשל אם אין לו AV מותקן - על השרת הזה יהיה הAV הארגוני עם מסך הסבר כיצד להתקין על המחשב המרוחק.

זה היה בקצרה 802.1X ב120 שניות ( כמו שחבר טוב נוהג לומר )

ובכן נחזור לסביבה שתיארנו , והפעם אציג אותה בשרטוט רשת שיפרט , כי כך אני בעצם חושף בפניכם את הקונספט שלי להקמת תשתית NAC בין סניפית.



אז מה יש לנו כאן בעצם :
רשת MPLS רגילה עם מספר סניפים ( ציירתי אחד לדוגמא ) ועם ציודים סטנדרטיים נדרשים כגון FW וכמובן דבר חשוב שנדרש - מתג שתומך בEAP\TLS אשר מחייב בסביבת 802.1X . חשוב לציין שבכדי שהפתרון יהיה מושלם - כדאי שהמתג יהיה LAYER3 ויתמוך GRE בשביל ליצור סביבה מושלמת.

מה עושים בעצם -
מקימים סניף לוגי כלשהו ברשת ( אני תמיד ממליץ להשים סביבה כזו בחוות שרתים של אותה ספקית תקשורת ( מאחר והקישור לשם יהיה האמין והיציב ביותר , ולא יחייב קישוריות יקרה לצורך הזדהות \ מה גם שUPTIME הוא סופר קריטי בסביבה כזו ) הסניף הלוגי הזה יכיל בתוכו שני מוצרים בדרך כלל , (לעתים גם LDAP) שהם יהיו בעצם אותו שרת REMIDIATION שתיארתי קודם לכן , וכמובן מכונת הNAC שלנו שבעצם מתפקדת כשרת RADIUS לכל דבר ( אני אישית מאמין אדוק בפתרון של JUNIPER לנושא , למרות שאפשר אפילו להתקיים מIAS פשוט ).

החלק החשוב ביותר הוא להקים GRE TUNNEL מוצפן בין שרת הNAC בסניף הלוגי , לבין כל מתג שקיים בסביבה . זאת מאחר ואנו רוצים שתהליך ההזדהות יעבור בלי הפרעה בתוך מסלול יעודי שלו עד למערכת האימות, GRE נותן לנו בדיוק את זה , כי אפשר לבקש מהציודים בדרך לא לבצע בדיקות על PACKET אשר מסומן עם GRE HEADER וזה חשוב לנו לצורך ביצועים ברשתות בעלות מאות סניפים...

מה שקורה בעצם בתהליך הוא שהמשתמש מתחבר למתג ( נייד נייח או WIFI הינם אותו דבר בסביבה שכזו ) והמתג נותן את הDEFAULT VLAN שלו שהוא - VLAN ההזדהות , המשתמש יקבל DHCP משרת DHCP שנמצא ברשת ( חכם מאוד עבור הVLAN הזה לקיים מחשב DHCP באותו סניף לוגי , רק למטרה זו ) ואז יש לנו תקשורת עד הNAC שלנו , המשתמש עובר בדיקות ואז צריך להכניס פרטים מזהים , אם הכניס פרטים נכונים , הNAC יעביר חזרה את הפרטים למשתמש ולמתג , המתג ישלח שאילתת RADIUS לאימות פרטים מול הNAC - ויאומת , והמתג יחליף בהתאמה את הVLAN TAG לVLAN הנכון , ולאחר מכן המשתמש יקבל DHCP מחדש מהנתב או השירות המקומי הסניפי שלו.

כמובן שצריך ליצור GRE נוסף שמאפשר הגעה לVLAN REMIDIATION למקרה שבו המשתמש צריך לבצע פעולות התאמה לפני שהוא יכול להתחבר לרשת. חשוב מאוד שלאותו NAC תהיה רגל בכל VLAN כדי שיוכל תמיד לענות לבקשות אימות וביצוע בדיקות הזדהות ואמינות מכל מקום.

אני תמיד ממליץ אגב להקים את הסביבה של הסניף הלוגי בשרידות , כלומר או ב2 חוות שרתים , או במצב CLUSTER באותה חווה , מאחר ובתצורה סטנדרטית , אם אין קשר לNAC או שהוא למטה - המשתמשים כולם מתנתקים מהרשת כמובן. ( אגב יש פתרון מיוחד שאומר שאם אין קשר לNAC אז צריך לבצע FAILOPEN ולהכניס אוטומטית לVLAN הארגוני , אבל אני לא שלם עם פתרון כזה )

בעצם כמו שניתן לראות - הקסם הוא הLOGICAL BRANCH שלנו , שמאפשר לי לקיים סביבה גדלה וגדלה בצורה סקלאבילית , ומאפשר לי להגיע לתצורות עצומות חובקות עולם , של סניפים מרוחקים בין יבשות , ועדיין הכל ינוהל מנקודת אכיפה מרכזית ובלי להוריד את רמת האבטחה הארגונית.

Labels: architecture, design, nac, solution

Posted by barry at 8:00 AM | Link | Comments

ובכן , החברה האהובה עליי Google - עושה את זה שוב. [ האזכורים הראשונים למערכת זו הראו לי לפני כשנה וחצי או שנתיים ... אבל לא זכור לי שפורסם באתר של גוגל באופן רשמי ] , אבל אם תיכנסו ל
לינק הזה תוכלו לראות את אחד הפיתוחים היותר מעניינים של גוגל לעולם הLarge Scale Enterprise ולעולם מנועי חיפוש הנתונים וfריית הנתונים העסקיים.

למעשה מה שעשו גוגל ( אגב , Yahoo + IBM וחברות אחרות מפתחים פתרונות מקבילים , וכמו כן יש פתרונות מבית Microsoft אשר זו מטרתם גם כן וכמובן מנוע X1 המושלם מכל בחינה , אבל אני איש של גוגל ... מה לעשות ) הוא לקחת את המנוע האדיר שהם פיתחו , וליצור מערכות INDEXING למידע ארגוני , אשר כל משתמש יכול לרכוש ולנטוע מערכת חיפוש מתקדמת ביותר , בארגון שלו , באתר שלו , או עבור לקוחות שלו. והיתרונות בולטים , מכונת הGOOGLE MINI יכולה ברישוי הכי זול שלה ( 1995$ ) לחפש ולבצע INDEXING למעל 50,000 מסמכים - כלומר זהו פתרון זול וסביר לכל ארגון אשר מעוניין במנגנון לניתוב , סינון פילטור ויצירת מאגר נתונים על סמך מסמכים. והפתרון האולטימטיבי לשילוב בתוך אתר אינטרנט או אינטראנט ארגוני.

החלק שקשור פה לאבטחת המידע אולי נראה חבוי , אבל אני פחדן מספר אחד כאשר זה נוגע לארכוב נתונים ארגוניים על מערכות כמו גוגל אשר נראות קצת כמו חורים שחורים ולא ידועים כאשר זה מגיע ל"איך זה עובד והאם המידע נשלח החוצה ?" , טוב זו סוגיה שאפשר לסגור במערכות הפנימיות , כי זו אכן מערכת פנימית.

היופי הוא שכל נושא המידע החבוי והנעלם בארגון ( והמערכת תחפש בכל מקום שיגדירו לה , בין אם בתחנות קצה , שרתים או אפליקציות ( אפשר לקנות CONNECTORS לכמעט כל מוצר ) הכל הופך להיות גלוי וקל לחיפוש ומציאת נתונים רלוונטיים , הרי כל מי שאי פעם חיפש בגוגל יבין למה אני מתכוון.

אגב , המערכת הכי גדולה שאני מצאתי אצלם נכון להיום נקראת GB-8008 ויכולה לחפש במעל 30 מליון מסמכים . הצעה שלי ליאהו ולשאר , קנו כמה כאלה , ותפסיקו לבזבז זמן על פיתוח מנוע נוסף ש"יתחרה" במנוע המדהים של גוגל.

אהבתי.

למי שפספס - הנה שוב הלינק אני מציע לשוטט שם קצת.

Labels: architecture, solution, technology

Posted by barry at 12:46 PM | Link | Comments

למי שמכיר אותי , יודע שאני נחשב מנגנון די קשה לפיצוח בכל הנוגע לשכנוע טכנולוגי. כחלק מתפקידי במקום העבודה שלי, אני נדרש לבצע בדיקות לטכנולוגיות חדשות, מוצרים חדשים וקונספטים . לא פעם ולא פעמיים הגיעו אלינו לפגישות טובי המוחות ויצאו בידיים ריקות שכן הפתרונות א המוצרים שהציגו היו שם אבל זה לא היה זה. ואני כטכנולוג תמיד מחפש את אותו אדם שיפיל אותי מהכיסא.

לפני מספר ימים , זה סופסוף קרה ! מישהו הצליח להגיע אלינו למשרדים, אנחנו נערכנו להשוות אותו לכל פתרון קיים בשוק , וכשסיפר על הפתרון שלו, פשוט לא היה לי מה לומר.
בטח ובטח אני , כשאני אוהב פשטות ותחכום, ישבתי ללא מילים בפי.

אז תנו לי להציג את אותו אדם ואותה חברה.
שמו איתי וייסברג אשר משמש כנשיא ומנכ"ל לחברת SECCES. והפתרון שלהם להזדהות חכמה הוא מסוג הדברים שהיינו אומרים פעם על ICQ ... איך לא חשבנו על זה קודם.

בעוד הזדהות חזקה מוגדרת כיום כשילוב של שני פאקטורים או יותר ( למשל סיסמה וTOKEN או בדיקת רשתית וטביעת אצבע ) אשר על ידי שילוב של שניהם ניתן להוכיח זהות . בד"כ הגישה היא להציג משהו שיש לך ומשהו אתה יודע ( Something You Have And Something You Know ) מאחר וגם א אני יודע ססמה ואין בידי את הTOKEN , אני לא יכול להיכנס...

ובכן , החבר'ה בSECCES לקחו את העולם זה שנים קדימה . הרעיון הוא כזה ... הזדהות מחוץ למחשב. כן כן , לא להשתמש בTOKEN או בסיסמה או באלמנט דומה , תוך שמירה על עקרונות הOTP
( One Time Password - לאחר שימוש אחד לא ניתן להשתמש בסיסמה ). מה שהם עשו זה בעצם לבנות פרופילים של הזדהות לכל משתמש במערכת. למשל אני : יש לי טלפון נייד , יש לי כתובת אימייל , יש לי שלוחה במשרד ועוד כל מיני דוגמאות ... נניח שהטלפון הנייד הוא אימות 1 ,והשלוחה שלי היא אימות 2. במידה ואני צריך להזדהות באמצעות מערכת SECCES, מה שאני צריך לעשות זה להכנס שם משתמש ובקשת אימות . לצורך הענין המערכת הח מוגדרת לCHALLENGE אוטומטי ( מלא אפשרויות קונפיגורציה ), המערכת מחליטה לעבוד איתי באימות 1. מייד אני מקבל SMS שבו כתוב "סיסמתך החד פעמית היא : XXXXXX" , פעם אחרת המערכת בוחרת באימות מסוג 2 , ואני מקבל טלפון שאומר לי "סיסמתך החד פעמית היא : YYYYYY" . פשוט מדהים.

כל תהליך ההזדהות מתבצע OUT OF BAND , כי הרי ידוע שהטלפון שלי הוא שלי , והשלוחה שלי היא שלי , וכל מיני נתונים סטטיסטיים .. בעצם לא צריך רכיב חומרה ( פרט למערכת עצמה ) בכדי לבצע הזדהות. תחשבו על כל הסוכנים בשטח , בלדרים , אנשי מכירות ואנשי תשתיות אשר יכולים להתחבר בצורה חזקה לארגון , מבלי לעלות עשרות דולרים לכל משתמש עבור רכיב שפג תוקף כל 3-4 שנים.

המערכת תוכננה לעבודה כרדיוס ( וככזאת - יכולה להתממשק לכל מערכת שיודעת לדבר מול רדיוס ), יש לה 2 אלמנטים : מערכת האימות ושרת הRADIUS RELAY.
המערכת בנויה בצורה מאוד מוקשחת וSUPER SECURE. בעצם השרת מולו מבצעים את שאילתת הרדיוס הוא קופסא טיפשה אשר רק יודעת לקבל בקשות, השרת החכם הוא שרת האימות והוא מבקש ממנה את הבקשות וגם שם בה תשובות , כלומר אם שמים אותה בDMZ , למכונת הRADIUS RELAY אין כלל צורך בחוקי גישה ממנה החוצה. חשוב לציין ששירותי ההתקשרות, כולל SMS או כל דרך אחרת תלויים בקיום של מערכות כאלה בארגון , או אצל ספק שירות.

בכל מקרה, הרעיון והטכנולוגיה הזו לאימות , הן בדיוק הסיבה שאני אוהב לעבוד בתחום הזה. טרם יצא לי לראות אימלפמנטציה כלכך מדליקה וכלכך מעניינת לביצוע הזדהות. לדעתי אנחנו נשמע הרבה מהחבר'ה האלה. אני בהחלט מתכוון לאמץ את הטכנולוגיה הזו.

האתר של SECCES הוא :
www.secces.com

Labels: architecture, solution, startup, thesis

Posted by barry at 12:24 PM | Link | Comments