понедельник, 30 марта 2015 г.

Cisco: Блокируем P2P с NBAR

Блокирование пирингового трафика справедливо считается одной из наиболее сложных задач, так как это УГ по определению предназначено к устойчивости против цензуры.

Разного рода мыльницы имеют соответствующую опцию, но эффективность их работы под большим вопросом.

Собственно, если у нас есть Cisco с функцией NBAR, например, интегральный сервисный роутер G2, скажем, 29xx (Замечание: вам необходимо иметь активированный функционал SECURITY для полнофункционального NBAR), то можно настолько осложнить прохождение P2P трафика через роутер, что остатки будут практически бесполезны.

Убедитесь, что у вас загружен актуальный protocol pack (учтите, они регулярно обновляются, требуется подписка) и активированы необходимые technology packs:

 !  
 ip nbar protocol-pack flash0:pp-adv-isrg2-155-3.M2-23-19.1.0.pack  
 !  
 !  
 license boot module c2900 technology-package securityk9  
 license boot module c2900 technology-package datak9  
 !  
   
   

Заодно прихватим пару-тройку потенциально опасных протоколов и ограничим видео:

 class-map match-any torrent  
  match protocol bittorrent  
  match protocol bittorrent-networking  
  match protocol encrypted-bittorrent  
  match protocol encrypted-emule  
  match protocol webthunder  
  match protocol edonkey  
  match protocol edonkey-static  
  match protocol gnutella  
  match protocol goboogy  
  match protocol fasttrack-static  
  match protocol winmx  
  match protocol winny  
  match protocol ares  
  match protocol Konspire2b  
  match protocol filetopia  
  match protocol manolito  
  match protocol networking-gnutella  
  match protocol perfect-dark  
  match protocol poco  
  match protocol pptv  
  match protocol ppstream  
  match protocol share  
  match protocol songsari  
  match protocol sopcast  
  match protocol soulseek  
  match protocol tomatopang  
  match protocol xunlei-kankan  
  match protocol dht  
  match protocol torrentz  
 class-map match-any blocked  
  match protocol socks  
  match protocol teredo-ipv6-tunneled  
  match protocol game-spy  
  match protocol itunes  
  match protocol itunes-audio  
  match protocol itunes-video  
  match protocol ultrasurf  
  match protocol waste  
  match protocol hamachi  
 class-map match-any video  
  match protocol ppstream  
  match protocol zattoo  
  match protocol youtube  
  match protocol video-over-http  
  match protocol baidu-movie  
  match protocol internet-video-streaming  
  match protocol mpeg2-ts  
 !  
 !  
 policy-map Net_Limit  
  class net_admins  
   bandwidth remaining percent 50   
  class net_clients  
   bandwidth remaining percent 25   
  class torrents  
   drop  
  class blocked  
   drop   
  class video  
   bandwidth remaining percent 10   
  class class-default  
   bandwidth remaining percent 15   
 !  
 interface GigabitEthernet0/0  
 ip address YOU_EXTERNAL_IP 255.255.0.0  
 ip access-group WAN_IN in  
 ip nbar protocol-discovery  
 ip nat outside  
 ip virtual-reassembly in  
 duplex auto  
 speed auto  
 no cdp enable  
 service-policy output Net_Limit  
 !  

Вот и все, ребята. Можете тестировать. :)

PS. pptv находится в списке torrents, а не video, так как это P2P. 

вторник, 24 марта 2015 г.

И пусть весь мир подождет...

Пока некоторые господа на планете жуют сопли и радуются своей самобытности и скорому пришествию высокоморального и высокодуховного Чебурашки, те из вас, кто способен разуметь басурманский язык, могут почитать вот это:

http://www.raytheon.com/capabilities/cyber/overview/index.html#de

И задумайтесь. Эта сеть создана не вами и не для вас. И никакие "русские хакеры" серьезно поколебать этот факт не в силах. Всосали?

Хочу напомнить недоношенным ура-патриотам один анекдот родом из 1986 года:

- Насколько СССР отстал от США в микроэлектронике?
- Навсегда.

воскресенье, 22 марта 2015 г.

Cisco: SSH public key auth

Я все же повторю для лучшего закрепления. :)

Есть пара ключевых пунктов.

Пункт 1. Публичный ключ должен быть в формате IETF SECSH.
Пункт 2. Выполнять надо правильную команду:

# Config
ip ssh pubkey-chain
username admin
key-string
(публичный ключ в формате IETF, не забыли?)


И вот что. Не стоит забывать про параметр ip ssh dh. Он определяет группу DH.

Его значения соответствую следующим группам:

ip ssh dh min size 2048


1024 - группа DH номер 1. Самая слабая защита.
2048 - группа DH номер 14. Приемлемая защита, но не самая крутая на данный момент.
4096 - группа DH номер 16. Все круто, но не поддерживается почти ни одним клиентом (на 03.2015).

В финале фрагмент конфигурации Cisco iOS SSH выглядит примерно так:

ip ssh maxstartups 5
ip ssh port 9922 rotary 1
ip ssh rsa keypair-name SSH-KEY
ip ssh version 2
ip ssh dh min size 2048
ip ssh pubkey-chain
username admin
key-hash ssh-rsa 82630CD14416D98B4D8B60DCE0E3053F
no ip ssh server authenticate user keyboard
no ip ssh server authenticate user password


Да, мы обосрались после откровений Эдварда. :) Поэтому хостовый ключ на цисках перегенерировали на 4096 бит:

crypto key generate rsa modulus 4096

Теперь можно включить на наши устройства максимальную security:


четверг, 19 марта 2015 г.

Solaris: Сборка ClamAV 64 бита

Для сборки ClamAV полностью в 64 бита требуется, в обязательном порядке, наличие 64-битных версий всех библиотек, которые используются (Прежде всего, это, конечно, openssl).

Пере установкой надо создать непривилегированного пользователя и группу для выполнения антивируса:

groupadd clamav
useradd -d /var/spool -g clamav -c "ClamAV user" -s /bin/false clamav

После успешного создания можно приступить к конфигурированию и компиляции с последующей установкой:

# 32 bit GCC

./configure 'CXXFLAGS=-I/opt/csw/include -L/opt/csw/lib -O3 -m32 -pipe' 'CFLAGS=-I/opt/csw/include -L/opt/csw/lib -m32 -O3 -pipe' --with-openssl=/opt/csw --enable-no-cache --enable-dns-fix --disable-llvm --prefix=/usr/local/clamav

# 64 bit GCC

./configure 'CXXFLAGS=-I/opt/csw/include -L/opt/csw/lib/64 -O3 -m64 -pipe' 'CFLAGS=-I/opt/csw/include -L/opt/csw/lib/64 -m64 -O3 -pipe' --with-openssl=/opt/csw --enable-no-cache --enable-dns-fix --disable-llvm --prefix=/usr/local/clamav

gmake
gmake install-strip


На, Solaris, разумеется, нет никакого LLVM, поэтому его необходимо отключить при конфигурировании (это не очевидно для начинающих и не только для них), иначе сборка обломается на первом же модуле.


Важно также помнить, что все сервисы, которые будут линковать библиотеку libclamav, в случае сборки антивируса в 64-битной версии также должны быть 64-битными.

Для автоматического запуска сервисов необходимы также SMF, которые можно написать самостоятельно или взять здесь (ClamAV SMF) и здесь (freshclam SMF).

Если все сделано правильно, то, после конфигурирования сервисов, обновления антивирусных баз и запуска все будет выглядеть вот так:


Вот и все, folks! ;)

среда, 11 марта 2015 г.

Cisco: SSH сервер - отключение входа по паролю и keyboard interactive

Как вы знаете, просто добавить public key недостаточно. Остаются включенными методы входа tunneled password (password) и keyboard interactive.

Соответственно, к вам так и будут долбиться брутфорсеры (если циски торчат наружу).

Как отключить?

А вот так:


Войти в конфигурацию и набрать:

no ip ssh server authenticate user keyboard
no ip ssh server authenticate user password

Ну и сохранить конфигурацию, конечно.

Первоисточник (который надо курить до просветления) находится здесь.

PS. Команды приводятся для свежих iOS (15.x).

пятница, 6 марта 2015 г.

Cisco: Перегенерация ключей хоста SSH

Большинство раздолбаев обращает мало внимания на разрядность ключей SSH и их свежесть, верно?

Раз в четыре года надо обязательно менять либо носки админа, либо криптоключи на хостах. :) Такое время в IT - вечность. :)

Итак. Увеличим битность ключей хостов на цисках до приемлемой в наши дни величины. Ну и просто для очистки совести перегенерируем. :)


И применим:


Вот и все, folks. :)

Теперь можно переконнектиться и скормить новые ключи клиенту SSH.