Безопасный удалённый доступ: как защитить инфраструктуру от злодеев и нерадивых сотрудников

Введение

Корпорация Майкрософт выпустила новый модуль расширения WebDAV, который был полностью перезаписан для Служб IIS 7.0 (IIS 7.0) в Windows Server 2008. Этот новый модуль расширения WebDAV включил множество новых функций, позволяющих веб-авторам публиковать содержимое лучше, чем раньше, и предлагает веб-администраторам больше возможностей безопасности и конфигурации. Корпорация Майкрософт выпустила обновление модуля расширения WebDAV для Windows Server 2008, которое обеспечивает поддержку общих и монопольных блокировок для предотвращения потерянных обновлений из-за перезаписи.

В этом документе описывается использование новой служебной программы AppCmd.exe в IIS 7.0 для настройки параметров WebDAV из командной строки или пакетного скрипта.

Предварительные требования

Для выполнения процедур, описанных в этой статье, требуются следующие элементы:

• На сервере должна быть установлена служба IIS 7.0, и необходимо настроить следующие компоненты:

  Веб-сайт по умолчанию, созданный установкой IIS 7.0, должен по-прежнему существовать.

• Необходимо установить новый модуль расширения WebDAV. Сведения об установке нового модуля WebDAV см. в следующем документе:

  Установка и настройка WebDAV в IIS 7.0

Примечание

Необходимо убедиться, что вы выполните действия, описанные в этом документе, с помощью полных административных разрешений. Лучше всего сделать это одним из двух перечисленных ниже способов:

• Войдите на компьютер с помощью локальной учетной записи администратора.
• Если вы вошли с помощью учетной записи с правами администратора, не являющейся локальной учетной записью администратора, откройте диспетчер IIS и все сеансы командной строки с помощью параметра «Запуск от имени администратора».

Указанное выше условие является обязательным, так как компонент безопасности контроля учетных записей (UAC) в Windows Server 2008 предотвратит административный доступ к параметрам конфигурации IIS 7.0. Дополнительные сведения о контроле учетных записей см. в следующей документации:

https://go.microsoft.com/fwlink/?LinkId=113664

Примечание

Параметры фильтрации запросов могут блокировать несколько типов файлов из разработки WebDAV по умолчанию. При настройке WebDAV с помощью пользовательского интерфейса диспетчера IIS параметры фильтрации запросов автоматически обновляются для разблокировки разработки WebDAV. Однако если вы решили настроить WebDAV каким-либо образом, кроме использования пользовательского интерфейса диспетчера IIS, ознакомьтесь с пошаговым руководством по настройке WebDAV с фильтрацией запросов .

Доступ к файлам с помощью macOS

Примечание

MacOS Finder страдает от серии проблем реализации и должен использоваться, только если сервер Nextcloud работает на Apache и mod_php или Nginx 1.3.8+. Альтернативные macOS-совместимые клиенты, способные получать доступ к общим ресурсам WebDAV, включают приложения с открытым исходным кодом, такие как Cyberduck (см. Инструкции ) и Filezilla. Коммерческие клиенты включают в себя Mountain Duck, Forklift, Transmit и Commander One.

Чтобы получить доступ к файлам через macOS Finder:

1. В верхней строке меню Finder выберите Go > Подключиться к серверу…

1. Когда откроется окно Connect to Server…, введите адрес WebDAV вашего сервера Nextcloud в поле Адрес сервера:, т.е.

Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 2

October 19, 2011 – 4:10 pm

Во второй части данной серии статей первое что мы сделаем это добавим роль RADIUS сервера на наш Server 2008 R2. Перед этим убедитесь что у вас есть права доменного администратора.

Шаг 3: Добавляем роль Network Policy and Access Services

1. Залогиньтесь на Server 2008 R2 и откройте “Server Manager”.
2. Нажмите ссылку “Add Role” .
3. На странице “Before you Begin” нажмите кнопку “Next”.
4. Отмечаем чекбокс напротив “Network Policy and Access Services”.
5. В окне “Network Policy and Access Services” нажмите “Next”.
6. На странице “Select Role” отметьте “Network Policy Server”.
7. Нажмите “Install” 
8. Перезагрузите сервер.

Accessing files using WinSCP

WinSCP is an open source free SFTP client, FTP client, WebDAV client, S3 client and SCP client for Windows. Its main function is file transfer between a local and a remote computer. Beyond this, WinSCP offers scripting and basic file manager functionality.

You can download the portable version of WinSCP and run it on Linux through Wine.

To run WinSCP on Linux, download wine through your distribution’s package manager, then run it via: wine WinSCP.exe.

To connect to Nextcloud:

• Start WinSCP

• Press „Session“ in the menu

• Press the „New Session“ menu option

• Set the „File protocol“ dropdown to WebDAV

• Set the „Encryption“ dropdown to TSL/SSL Implicit encryption

• Fill in the hostname field: example.com

• Fill in the username field: NEXTCLOUDUSERNAME

• Fill in the password field: NEXTCLOUDPASSWORD

• Press the „Advanced…“ button

• Navigate to „Environment“, „Directories“ on the left side

• Fill in the „Remote directory“ field with the following: /nextcloud/remote.php/dav/files/NEXTCLOUDUSERNAME/

• Press the „OK“ button

• Press the „Save“ button

• Select the desired options and press the „OK“ button

• Press the „Login“ button to connect to Nextcloud

Note: it is recommended to use an app password for the password if you use TOTP, as WinSCP does not understand TOTP in Nextcloud at the time of writing (2022-11-07).

Основные технологии защиты информации

На сегодня, использование SSH и отсутствие вирусов на компьютере — это очень хорошая защита, при передаче данных по протоколу FTP.
Сама по себе технология передачи файлов через интернет (FTP) является достаточно уязвимой, и не обеспечивает полную безопасность. Это связано с тем, что хакер может перехватить определенные данные, подключившись к вашему соединению и для этого ему не нужно знать ни логин, ни пароль. Поэтому придумали следующий выход: пользователю выдается специальный ключ, который позволяет зашифровать данные, а на сервере есть второй ключ, который позволяет их расшифровать. В итоге хакер подключившись к вашему соединению, не сможет расшифровать данные. В этом и заключается суть SSH-технологии.

Терминология

Терминология в данной сфере не является устоявшейся, далее предлагается использовать систему понятий, принятых в компании Gartner.

Управление корпоративной мобильностью (Enterprise Mobility Management, EMM) ЕММ предполагает рассмотрение комплекса вопросов интеграции мобильных средств коммуникации (МСК) в корпоративные бизнес-процессы, обеспечения ИБ, поддержки пользователей этих устройств. Это ПО, инфраструктура, технологии, обеспечивающие возможность интеграции МСК в корпоративные информационные бизнес-процессы.

С точки зрения бизнеса EMM-инструменты позволяют решать основные задачи:

• подготовка МСК к работе – конфигурирование и установка корпоративных приложений;
• обеспечение функционирования МСК в бизнес-процессах – управление данными и приложениями;
• обеспечение ИБ – управление правами доступа, установка и контроль политик ИБ, криптографическая защита, защита от специфических угроз;
• аудит, мониторинг событий безопасности;
• поддержка пользователей МСК.

Выделяются следующие категории EMM-инструментария:

1. Система управления МСК (Mobile Device Management, MDM). Система администрирования на уровне ОС МСК включает типовой функционал:

• управление конфигурациями ОС в соответствии с политикой ИБ;
• управление приложениями МСК (установка, удаление, очистка памяти, удаленный мониторинг и контроль за событиями безопасности);
• блокировка некоторых функций и интерфейсов МСК;
• безопасное совместное хранение личных и корпоративных данных;
• защита данных от кражи;
• защита телефонной связи.

2. Управление мобильными приложениями (Mobile Application Management, MAM). Система администрирования на уровне приложений.

Выделяются 2 варианта реализации MAM:

• приложения для МСК, предлагаемые производителями EMM с расширенными возможностями управления ими. Примеры – защищенные системы работы с электронной почтой, управление контактами, защищенные браузеры;
• приложения, специально разработанные для использования в корпоративных информационных системах (например, специализированные АРМ для МСК).

3. Управление мобильным контентом (Mobile Content Management, MCM). Система администрирования на уровне данных.

Позволяет организовать доступ к корпоративным информационным ресурсам пользователям МСК.

Мониторинг веб сайтов с помощью пакета управления от Russ Slaten

January 30, 2012 – 3:43 pm

Наконец после длительного перерыва у меня дошли руки до 3-его способа мониторинга веб-сайтов с помощью SCOM 2007.

Первый способ описан тут и второй тут.

Третий способ создан Russ Slaten и представляет из себя пакет управления. На мой взгляд данное решение самое гибко-настраиваемое, хотя и более сложное в первоначальной установке. Перед внедрением в производственную среду я рекомендую вам ознакомиться с данными методом в тестовом окружении.

Давайте приступим. Сперва скачайте архив пакета управления Custom.Example.WebsiteWatcher.zip и извлеките находящиеся в нем файлы.

Первый из файлов это сам пакет управления. Второй это CSV файл веб-сайтов, которые будут мониториться.

Откройте консоль управления SCOM и перейдите в узел Management Packs.  Нажмите на нем правой кнопкой и выберите Import Management Packs.

Новогодняя акция от Inferno Solutions

December 22, 2011 – 5:50 pm

Мечтаете переехать от нерадивого хостера?

Пакуйте чемоданы! Поможем с переездом абсолютно бесплатно!

Радушно примем Вас у себя в гостях, чтобы Вы почувствовали себя, как дома. Постоянное место жительства на наших виртуальных серверах вам обеспечено!

Волнуетесь, понравится ли? Понимаем, ближайшее знакомство нам только предстоит, а пока у вас есть шанс воочию оценить преимущества, ведь мы предоставляем тестовый период для VPS на 14 дней!

Место жительства выбираете сами: Канада, Россия, Украина, США, Германия, Эстония, Польша, Нидерланды, Швеция – к вашим услугам VPS в 9 странах мира.

Цены более чем доступные – от 5$. Взамен Вы получаете администрируемый VPS с гарантированными ресурсами на технологии виртуализации XEN, которая исключает оверселлинг.

Бэкап с помощью rsync(терминал)

Способ, использующий для резервного копирования программу позволяет сделать копию любого файла на вашем компьютере, в том числе файлов настроек и системных файлов. Для настройки необходимо:

Создать скрипт, выполняющий резервное копирование. Файл в любом удобном для вас месте1) со следующим содержимым:

#!/bin/bash
mount -t davfs https://webdav.yandex.ru
notify-send "Запущено резервное копирование, дождитесь сообщения о завершении" -i deja-dup
rsync -qralo --delete-before --exclude-from=home/<имя_пользователя>/binbackup.conf  mediaЯндекс.Дискbackup
umount https://webdav.yandex.ru
notify-send "Резервное копирование окончено" -i deja-dup

данный скрипт использует файл ~/backup.conf добавляя в исключения все записанные в нем каталоги. Файл ~/bin/backup.conf должен иметь вид:

media
dev
mnt
tmp
proc
sys
varbackups
varcache
usrsrc
 
home"user_name1"Загрузки
home"user_name1"Видео
 
home"user_name2"Музыка

Данный скрипт будет пытаться сделать резервную копию абсолютно всей файловой системы, поэтому, ввиду ограниченности пространства сетевого хранилища, уделите особое внимание указанию папок-исключений.

На момент написания статьи наблюдаются проблемы в скорости работы rsync при обращении к Яндекс.Диск, ориентировочно из-за медленного расчета контрольной суммы на стороне сервера, поэтому делать резервные копии большого объема пока нежелательно.

Добавить созданный скрипт на ежемесячное выполнение в cron от пользователя root

sudo ln -s ~binbackup.sh etccron.monthlybackup.sh

Ссылки

• О «davfs2» на Wikipedia (англ.) davfs2
• О протоколе «WebDAV» на Wikipedia WebDAV
• О проекте «GVFS» на Wikipedia (англ.) GVFS
• Отчет о программном сбое утилиты «GVFS» can’t connect to webdav shares
• Описание файла «/etc/fstab» на данном ресурсе fstab и на Wikipedia fstab

рекомендую хранить все свои скрипты в папке ~/bin, она не удалится при переустановке системы

Как подключить Яндекс.Диск как сетевой диск к компьютеру на Windows

Для подключения сетевого диска в операционной системе Windows, сначала нужно будет кликнуть правой кнопкой по иконке «Компьютер» или «Этот Компьютер» на Рабочем столе или из меню «Пуск». Затем необходимо будет выбрать пункт контекстного меню «Подключить сетевой диск…».

По-другому, подключить сетевой диск можно будет из окна Проводника, открытого во вкладке «Компьютер». Там нужно будет выбрать «Подключить сетевой диск».

Далее будет открыто окно «Подключить сетевой диск». В этом окне необходимо выбрать букву для нового сетевого диска. По умолчанию, Windows автоматически выбирает свободную букву алфавита. Вы можете поменять букву диска, если вам это потребуется.

В поле «Папка» необходимо будет ввести следующий адрес:

https://webdav.yandex.ru

По умолчанию, активирован пункт «Восстанавливать при входе в систему».

Вам также может быть интересно:

• Как перенести Яндекс.Диск на другой раздел жесткого диска
• Храним файлы на Яндекс.Диск

После завершения выбора настроек, нажмите на кнопку «Готово».

Далее откроется окно «Подключение сетевого диска».

После успешного подключения сетевого диска, будет открыто окно «Безопасность Windows».

Здесь, в поле «Пользователь» вам нужно будет ввести логин от своей учетной записи в Яндекс.Диск

Так как логин привязан к почтовому ящику в Яндексе, то обратите внимание на то, что в этом случае, вам нужно будет вводить не полный адрес электронной почты, а только логин (то, что идет до «собаки»)

В поле «Пароль» введите пароль от своей учетной записи. Затем, активируйте пункт «Запомнить учетные данные», для того, чтобы заново не вводить свои данные, при каждом новом подключении к сетевому диску. Далее нажмите на кнопку «ОК».

После этого, в окне Проводника будет открыто облачное хранилище Яндекс.Диск. Здесь будут отображены все файлы и папки, которые размещены именно в этом облачном хранилище.

В окне Проводника, все сетевые диски, подключенные к вашему компьютеру, будут отображаться в области «Сетевое размещение».

Теперь вы можете пользоваться «облаком» Яндекса как обычным диском на своем компьютере.

Подключение в операционной системе «Microsoft Windows Vista»

В контекстном меню «Мой компьютер» необходимо выбрать пункт «Подключить сетевой диск…»:

После этого будет открыто окно подключения сетевого диска:

В поле «Папка» необходимо указать адрес вашего сервера TeamWox/webdav, например: «https://yourdomain.teamwox.net/webdav».

В адресе обязательно должно быть указано «https», поскольку работа происходит только по защищенному протоколу.

Далее необходимо нажать ссылку «другим именем» (см. изображение выше) и в появившемся окне указать логин и пароль, под которыми вы входите в систему TeamWox:

Для авторизации можно использовать только пароль в системе TeamWox. Подключение с использованием пароля невозможно, поскольку он не хранится в системе TeamWox и не может быть проверен.

Далее необходимо нажать кнопки «ОК» и «Готово». После этого в окне «Мой компьютер» появится сетевой диск, содержащий все папки и файлы в модуле «Документы», к которым у вас есть доступ.

Для работы с WebDAV в системах «Microsoft Windows Vista» необходим установленный патч «Webfldrs-KB907306-RUS», который может быть найден на сайте www.microsoft.com. Окончание «RUS» в названии патча соответствует русскому языку операционной системы, для установки на системах с другими языками необходимо скачать соответствующий патч.

Защита от Bounce атаки

Оригинальная FTP спецификация подразумевает соединение при помощи Transmission Control Protocol (TCP). Порты TCP от 0 до 1023 зарезервированы для таких сервисов, как почта, сетевые новости и контроль FTP соединений. FTP спецификация не имеет ограничений на номер TCP порта, используемый для соединения. При помощи proxy FTP пользователь может провести при помощи сервера атаку сервисов на любой машине.

Во избежание подобных атак необходимо запретить открытие соединения в портах TCP, меньших 1024. Если сервер получает команду PORT с параметром, меньшим 1024, сервер отвечает 504 (определено как \»Command not implemented for that parameter\»). Однако это всё еще оставляет уязвимыми сервисы, запускаемые на портах более чем 1024.

Некоторые источники предлагают использование другого протокола (не TCP). Нужно учесть, что bounce атака требует закачки файла на FTP сервер и последующую его перекачку на атакуемый сервис. Использование файловых защит устранит эту возможность. Взломщик также может атаковать сервис посылкой случайных данных с FTP сервера, что может 
доставить некоторые проблемы сервисов.

Отключение команды PORT также может быть использовано для защиты от атак. Большинство файловых пересылок может быть сделано при помощи команды PASV. Однако в таком случае proxy FTP не может быть использовано.

— Допускать в параметрах команды PORT только IP клиента. 

Практическая часть

Обоснование задачи

Компания ООО «КИВЕРИ» использует три программы, которые позволяют работать с данным на FTP-сервере.

• FileZilla
• FTPRush
• CuberDuck

Программное обеспечение для передачи данных на FTP-сервер

Доступ к файлам с помощью cURL

Since WebDAV is an extension of HTTP, cURL can be used to script file operations.

Примечание

Settings → Administration → Sharing → Allow users on this
server to send shares to other servers. If this option is disabled the
option needs to be passed to
cURL.

Чтобы создать папку с текущей датой в качестве имени:

$ curl -u user:pass -X MKCOL "https://example.com/nextcloud/remote.php/dav/files/USERNAME/$(date '+%d-%b-%Y')"

Чтобы загрузить файл в этот каталог:

$ curl -u user:pass -T error.log "https://example.com/nextcloud/remote.php/dav/files/USERNAME/$(date '+%d-%b-%Y')/error.log"

Чтобы переместить файл:

$ curl -u user:pass -X MOVE --header 'Destination: https://example.com/nextcloud/remote.php/dav/files/USERNAME/target.jpg' https://example.com/nextcloud/remote.php/dav/files/USERNAME/source.jpg

Чтобы получить свойства файлов в корневой папке:

How To

How to enable WebDAV publishing

1. Open Internet Information Services (IIS) Manager:

   • If you are using Windows Server 2012 or Windows Server 2012 R2:

     On the taskbar, click Server Manager, click Tools, and then click Internet Information Services (IIS) Manager.

   • If you are using Windows 8 or Windows 8.1:

     • Hold down the Windows key, press the letter X, and then click Control Panel.
     • Click Administrative Tools, and then double-click Internet Information Services (IIS) Manager.

   • If you are using Windows Server 2008 or Windows Server 2008 R2:

     On the taskbar, click Start, point to Administrative Tools, and then click Internet Information Services (IIS) Manager.

   • If you are using Windows Vista or Windows 7:

     • On the taskbar, click Start, and then click Control Panel.
     • Double-click Administrative Tools, and then double-click Internet Information Services (IIS) Manager.

2. In the Connections pane, expand the server name, and then go to the site, application, or directory where you want to enable WebDAV publishing.

3. In the Home pane, double-click WebDAV Authoring Rules.

4. In the Actions pane, click Enable WebDAV.

Note

Once you have enabled WebDAV publishing, you will need to add authoring rules before users or groups can publish content to your server. For more information about how to create authoring rules, see the topic.

How to add WebDAV authoring rules

1. Open Internet Information Services (IIS) Manager:

   • If you are using Windows Server 2012 or Windows Server 2012 R2:

     On the taskbar, click Server Manager, click Tools, and then click Internet Information Services (IIS) Manager.

   • If you are using Windows 8 or Windows 8.1:

     • Hold down the Windows key, press the letter X, and then click Control Panel.
     • Click Administrative Tools, and then double-click Internet Information Services (IIS) Manager.

   • If you are using Windows Server 2008 or Windows Server 2008 R2:

     On the taskbar, click Start, point to Administrative Tools, and then click Internet Information Services (IIS) Manager.

   • If you are using Windows Vista or Windows 7:

     • On the taskbar, click Start, and then click Control Panel.
     • Double-click Administrative Tools, and then double-click Internet Information Services (IIS) Manager.

2. In the Connections pane, expand the server name, and then go to the site, application, or directory where you want to enable directory browsing.

3. In the Home pane, double-click WebDAV Authoring Rules.

4. In the Actions pane, click Add Authoring Rule…

5. In the Add Authoring Rule dialog, specify the following options:

   • Allow access to: Specify whether the authoring rule should apply to all content types, or specify specific content types to allow.
   • Allow access to this content to: Specify whether the authoring rule should apply to all users, to specific groups or roles, or to specific users.
   • Permissions: Specify whether the authoring rule should allow Read, Write, or Source access for the specified content types and users.

6. Click OK.

Открытые системы BIOS для Linux

Сентябрь 16, 2007 – 8:21 pm

Во многих системах приличная часть времени загрузки идет на обеспечение унаследованной поддержки для MS-DOS. В различных проектах, включая LinuxBIOS и Open Firmware, проприетарный BIOS пытаются заменить на рационализированные фрагменты кода, способные делать только то, что необходимо, чтобы ядро Linux загрузилось и заработало. Эта статья дает краткий обзор данной темы.

Бииип!

Хоть и может показаться вполне естественным, что PC гудит при включении, на самом деле, есть фрагмент кода, который заставляет его делать это. Этот фрагмент встроен в загрузчик. В большинстве PC он называется BIOS. (Слово является акронимом basic input/output system (базовая система ввода/вывода)). BIOS обеспечивает поддержку основного оборудования, которую ранние операционные системы x86 использовали для доступа к дискам, мониторам и почти ко всему остальному.

Одно из первых действий, которое делает BIOS — проведение различных проверок включения: идентификация (и, возможно, тестирование) доступной памяти, определение тактовой частоты и так далее. Если проверка прошла удачно, компьютер гудит один раз. Этот процесс называют power-on self test (внутренний тест при включении) или POST. Англоязычные компьютерные фанаты обычно используют этот термин в качестве глагола: «That machine won’t even POST, so we should swap the memory.» (Эта машина даже не проходит тест BIOS (POST), так что надо поменять память.)

Типовая диагностика включает в себя звуковые коды (которые меняются от производителя к производителю) или диагностические коды, которые могут быть записаны по особому адресу. Некоторые съемные платы позволяют легко получить доступ ним; стандартно диагностические коды записываются в порт 80. Некоторые производители продают съемные платы, которые показывают в шестнадцатеричном формате последний байт, записанный в порт 80. Если вы проводите серьезную отладку, то захотите иметь что-то вроде этого, а возможно, и какое-то более универсальное средство, например, PC Weasel, записывающий последние несколько (256) кодов POST, которые вы затем с удовольствием прочитаете. Разумеется, точное значение этих кодов меняется от BIOS’а к BIOS’у, и только некоторые производители документируют их. К счастью, разработчики открытых исходных кодов делают это хорошо.

Как обеспечить сервисами ВКС ваших сотрудников?

1. Как временное решение, пока полноценная система ВКС будет проектироваться и вводиться в эксплуатацию.
2. Представителям малого бизнеса, для которых внедрение и поддержка собственной системы ВКС слишком дорогое удовольствие. Но при этом ВКС требуется для ведения бизнеса.

Недостатки этого варианта:

• Весь обмен трафиком происходит вне периметра вашей компании.
• Управление инструментами ограничено.
• Самый большой недостаток: все публичные сервисы сегодня очень сильно перегружены.

Материал подготовлен на основе вебинара «Экстренная организация удаленных рабочих мест. Что нужно учесть». Полную версию можно посмотреть на YouTube

• Дмитрий Галкин, руководитель направления VDI
• Роман Морнев, консультант направления голоса и видео