Любой владелец выделенного IP адреса рано или поздно сталкивается с необходимостью обеспечить защиту своей сети. В корпоративном сегменте я часто работаю с активным оборудованием производителя Mikrotik (мнения об этом производителя могут быть самые разные, но вряд ли кто-то станет отрицать, что Mikrotik предоставляет лучшие решения по соотношению функционала, цены и качества). Предположим, что у нас есть роутер Mikrotik, а провайдер предоставляет нам канал с выделенным адресом. Давайте защищать свою цифровую крепость.
Чиним RDP в Guacamole 1.3.0 на Debian 10.10
Предыдущая статья описывает порядок установки Guacamole на машину под управлением Debian 10.10, как правило, этой инструкции достаточно чтобы установить Guacamole и начать им пользоваться. Однако, некоторые пользователи сталкиваются с тем, что при попытке подключиться посредством Guacamole 1.3.0 (баг именно этой версии) к компьютеру под управлением MS Windows (т.е. через RDP) соединение устанавливается, но тут же закрывается, причем, без всяких ошибок. По крайней мере, в моем случае чтение логов не сильно помогло разобраться в ситуации. Остальные протоколы (SSH, VNC) работают вполне стабильно и никаких проблем с ними я не наблюдал. Ошибка с RDP проявляется при использовании Debian и его производных — Ubuntu, Mint и др. В чем же тут дело?
Установка Guacamole 1.3.0 на Debian 10.10
Несмотря на то, что я являюсь поклонником операционных систем от Microsoft (в частности — Windows 7 и Windows Server 2008 R2), в своих проектах я зачастую не опираюсь на решения от мелкомягких, а выбираю по принципу где и что удобнее. Так, например, вместо MS SQL я использую MySQL, а вместо IIS предпочитаю веб-сервер Apache. Один из заказчиков попросил реализовать возможность подключения к парку своих машин через браузер, а парк, на минуточку, состоит сплошь из сборной солянки: тут и там компьютеры под Ubutntu, кто-то сидит на свежей Windows 10, в уголке притаился сервер под CentOS. Очевидно, что в первом случае мы имеем дело с VNC+SSH, во втором с RDP, ну а в третьем только с SSH. У Microsoft есть своя реализация клиентского шлюза для RDP, но мне она не по нраву, да и полностью задачу не покрывает. К счастью есть продукт который выбивает просто 10 из 10: встречайте, на сцену выходит Apache Guacamole.
Доступ к веб-версии 1С от Рарус через Mikrotik
Есть такая контора, называется «Рарус», одно из направлений которой — сдача в аренду 1С с помесячной оплатой небольшим организациям. Волею случая пришлось с ними столкнуться в рамках организации доступа к вышеупомянутой арендованной версии 1С. Я намеренно пишу просто «1С» без указания типовой конфигурации — при рассмотрении вопроса организации доступа это совершенно не играет роли. Штатный механизм выглядит так: нужно скачать специальный «запускатор» под наименованием Rent1C.exe, после чего запустить его и ввести учетные данные. На этом этапе будет создано SSTP VPN подключение к серверу 1С, зайти на который можно через веб-клиент (т.е. через браузер), либо через «тонкий клиент» (его нужно устанавливать отдельно). Мне больше по нраву веб-версия из-за относительной её автономности, отсутствия необходимости проводить какие-то обновления (как это делается для «тонкого клиента») и некоторых других моментов. Учитывая, что в организации в качестве ОС используется Debian, я окончательно остановился на веб-версии. Однако, мне не пришелся по нраву «запускатор» Раруса Rent1C, так что я предлагаю избавиться от него.
Keenetic не освобождает IP при удалении устройства
На некоторых прошивках Zyxel Keneetic случается так, что при удалении зарегистрированного устройства через веб-интерфейс не освобождается занятый этим устройством статический IP адрес в локальной сети. Эта ошибка всплывает чуть позже, когда вы хотите назначить уже иному устройству использованный ранее IP адрес — настройки просто-напросто не сохраняются, но в журнале появляется вот такая ошибка:
Dhcp::Server: address 192.168.1.10 is already assigned to the host «ff:ff:ff:ff:ff:ff».
Чтобы принудительно удалить устройство (и занятый им IP адрес) из списка зарегистрированных, необходимо подключиться к роутеру через SSH и отдать вот такую команду:
no ip dhcp host ff:ff:ff:ff:ff:ff
В журнале вы увидите сообщение о том, что устройство было успешно удалено. Вы можете начать использовать нужный IP адрес сразу же, перезагрузка роутера не требуется.
Автоматический логон пользователя
Один мой знакомый в бытность свою майнинг фермером купил устройство для автоматической перезагрузки рига после сбоя — т.н. Watchdog (устанавливается прямо на пины перезагрузки на матплате). Затем он потом поведал, что все равно приходится вмешиваться в процесс — если не зайти в систему, то не стартует нужная ему часть ПО из автозагрузки. За советом пришел только после того, как увидел незнакомое лицо, что дотошно перебирало содержимое винчестера — закономерный итог, если убрать пароль с учетной записи и отключить в локальных политиках безопасности запрос пароля при терминальном входе через RDP.
Нужно было из командной строки запустить диалоговое окно настроек входа в систему:
control userpasswords2
Ну а дальше все очевидно, нужно снять флаг с пункта «Требовать ввод имени пользователя и пароля». После перезагрузки вход в систему будет произведен автоматически, но пароль у пользователя будет на месте.
WPA2 — ПОТРАЧЕНО!
Тот самый момент когда ждал от WiFi нечто подобного. Ниже обыкновенная копипаста которая уже как неделю гуляет по ресурсам:
Комплекс уязвимостей в WAP2 получил название KRACK (аббревиатура от Key Reinstallation Attacks) и был обнаружен сводной группой исследователей. Как выяснилось, предупреждение, выпущенное ранее US-CERT, которое цитировали СМИ, оказалось верным. Исследователи пишут, что краеугольным камнем их атаки является четырехэлементный хендшейк WPA2. Данный хендшейк осуществляется тогда, когда клиент хочет подключиться к защищенной сети Wi-Fi. Он используется для подтверждения того, что обе стороны (клиент и точка доступа) обладают корректными учетными данными. В то же время хендшейк используется для согласования свежего ключа шифрования, который впоследствии будет применяться для защиты трафика. В настоящее время практически все защищенные Wi-Fi сети используют именно такой, четырехэлементный хендшейк. Что делает их все уязвимыми перед какой-либо вариацией атак KRACK.
«К примеру, атака работает против частных и корпоративных Wi-Fi сетей, против устаревшего WPA и свежего стандарта WPA2, и даже против сетей, которые используют исключительно AES. Все атаки, направленные на WPA2, используют технику реинсталляции ключей (key reinstallation)», — пишут авторы KRACK.
-
Свежие записи
Свежие комментарии
- Gabe Logan Newell к записи Редактор файла Hosts
Архивы
- Декабрь 2025
- Ноябрь 2025
- Октябрь 2025
- Сентябрь 2025
- Август 2025
- Июль 2025
- Июнь 2025
- Май 2025
- Апрель 2025
- Март 2025
- Февраль 2025
- Январь 2025
- Июль 2024
- Ноябрь 2023
- Сентябрь 2023
- Август 2023
- Июль 2023
- Март 2023
- Ноябрь 2022
- Октябрь 2022
- Сентябрь 2022
- Июль 2022
- Июнь 2022
- Май 2022
- Март 2022
- Декабрь 2021
- Октябрь 2021
- Сентябрь 2021
- Август 2021
- Июль 2021
- Февраль 2021
- Январь 2021
- Апрель 2020
- Январь 2019
- Декабрь 2018
- Июнь 2018
- Январь 2018
- Ноябрь 2017
- Октябрь 2017
- Сентябрь 2017
- Август 2017
- Июнь 2017
- Май 2017
Рубрики
Мета