Wszystkie wpisy, których autorem jest Mariusz Kozłowski

Mamy dużą dziurę ;) !!!

08.05.2017 Microsoft ogłosił wykrycie błędu, w wyniku którego specjalnie przygotowany plik może zmusić Microsoft Malware Protection Engine do wykonania kodu z prawami administratora podczas skanowania tego pliku.  Problem dotyczy wszystkich najnowszych wersji Windows od 7 do 10.
Jest to błąd z gatunku „paskudnie krytycznych”.

Zalecam sprawdzenie, czy system jest aktualny. Dla dociekliwych można zapoznać się z  Microsoft Security Advisory 4022344 

Podłączanie zasobów iSCSI

Dzisiejszy wpis dotyczy dość zaawansowanej technologii i przeznaczony jest dla administratorów IT.
Macierze iSCSI coraz częściej pojawiają się wśród klientów SMB. Zazwyczaj wyposażone są w dwie lub więcej karty sieciowe i większość konfigurujących próbuje zagregować łącza aby uzyskać większe przepustowości.
Dlatego zarówno po stronie macierzy jak i serwera zestawiany jest LACP 802.1ad (EtherChannel) zapewniający redundancję połączeń i zwiększenie przepustowości.
Ale czy na pewno ?
Macierz niestety pozostaje na maksymalnym poziomie przepustowości wynoszącym 125 MB/s
Dlaczego ?
LACP zapewnia nam równomierne rozłożenie sesji na wiele portów. I tu jest słowo klucz, podłączenie do macierzy ISCSI z IP serwera – to jedna sesja. A zatem tylko i wyłącznie jedna karta sieciowa na raz będzie przesyłać ruch do i z macierzy.

Rozwiązaniem jest technologia MultiPath I/O  dostępna na serwerach Windows 2008-2016.
Po stronie serwera rezygnujemy z LACP, a każdej karcie sieciowej przypisujemy inny adres IP w obrębie maski.
Teraz w iSCSI Initiator dodajemy połączenie, a w zakładce zaawansowane określamy konkretne IP.

Teraz należy dodać funkcję MultiPath I/O, zrestartować serwer i dodać nasze urządzenie w Panelu sterowania->MPIO

Następnie w iSCSI Initiator dodajemy drugie identyczne połączenie, ale tym razem wybieramy następną kartę sieciową w polu Initiator IP. Czynność tą należy powtórzyć dla pozostałych kart. Jeśli wszystko udało się poprawnie wykonać, możemy cieszyć się redundancją i jednocześnie zwiększoną przepustowością danych przesyłanych z i do naszej macierzy.

OOS – co to jest ?

Dziś chciałem przedstawić produkt, który jest raczej mało znany.

OOS czyli Office Online Server.  Jest to serwer dostarczający nam znane aplikacjie Office online w takich portalach jak Sharepoint, Lync, Exchange OWA lub Skype For Business Server.

Podstawowa funkcjonalność oferuje podgląd dokumentów stworzonych w popularnych aplikacjach Word, Excel, PowerPoint, OneNote. Jeśli korzystający użytkownicy mają zapewnione licencje pakietu Office (licencja Office Suite z Software Assurance lub subskrypcja Office 365 ProPlus) to możemy włączyć tryb edycji.

technicznie jest to oddzielny serwer z własnym certyfikatem, który umieszcza odpowiedni iframe w kodzie witryny odpowiedniego portalu.

Tak to wygląda w praktyce:

OOS

Jest to bardzo fajne rozwiązanie dla osób korzystających z urządzeń bez zainstalowanego pakietu Office typu tablety czy smartfony. Świetnie się sprawdzi także w kawiarence internetowej lub na innym urządzeniu, które ma tylko przeglądarkę www.

Gdy brakuje kabla…

Ostatnio zmierzyliśmy się z nietypowym wdrożeniem u klienta. Nie można było ułożyć kabli ethernetowych, a wymaganiem było uzyskanie dwóch linków o prędkości 1Gb/s

Rozwiązaniem okazały się adaptery PoweLine PL 1000 firmy Netgear, które pozwoliły wykorzystać istniejącą instalację elektryczną w paśmie do 86MHz i zapewnić wymaganą funkcjonalność. Dwa adaptery tworzą link, trzy do ośmiu wirtualny switch. Producent nie zaleca więcej niż 8 sztuk w jednej lokalizacji. Nie należy także umieszczać adapterów w listwach antyprzepięciowych, stabilizujących lub UPSach. Tego typu urządzenia mogą obniżyć transfer lub całkowicie go uniemożliwić.

pl1000-plugUrządzenia oferują kryptografię celem zabezpieczenia transmisji. Typowe zużycie prądu dla jednego adaptera to 0,5W, maksymalnie 3,5W. W testach wydajności na bliskie odległości  otrzymaliśmy wyniki zbliżone do połowy prędkości kabla gigabitethernet. Na większe odległości prędkość spada do wydajności sieci 100Mb/s. To i tak bardzo dobry wynik dla wielu zastosowań.

Wdrożenie Microsoft Exchange 2016

Zakończyliśmy produkcyjne wdrożenie programu Exchange 2016 w naszej firmie. Przeprowadziliśmy migrację danych z bardzo popularnej wersji Exchange 2007, która niestety przestała być obsługiwana przez najnowszego Outlooka z pakietu Office 2016. Dla przypomnienia najnowszy Outlook współpracuje wyłącznie  z Exchange w wersji 2016, 2013 i 2010.

Nowy Exchange 2016 współpracuje z Office 2016, 2013 i 2010. Jego wdrożenie wymusza porzucenie starszych wersji Outlooka.

exchange

Nowy Exchange dla użytkownika przedstawia się przede wszystkim nową szatą graficzną dostępu do poczty poprzez www ( Outlook Web Access).  Ten interfejs jest niemalże tak samo funkcjonalny jak program Outlook. Ponadto zapewnia poprawne funkcjonowanie z urządzeniami mobilnymi na najbliższe lata.

Przelewy internetowe – wideo ku przestrodze

Materiał ku przestrodze (UWAGA !!! nie jestem autorem tego filmu ):

Przy okazji wyjaśniam: wirus cały czas znajduje się na komputerze ofiary i w locie zmienia ciąg 26 znaków numeru konta już po operacji szyfrowania/rozszyfrowania. Na nie zainfekowanym komputerze ofiara zobaczyłaby numer konta oszusta. Nie ma w tym winy banku – warto zawsze zwracać uwagę na SMSy autoryzujące. Dobrze też wykonywać przelewy z dedykowanego sprzętu. Można korzystać z mniej popularnych systemów operacyjnych typu Linux, lub nawet iOS. Te systemy zdecydowanie trudniej zainfekować, a z racji małej popularności (w przypadku użytku do bankowości elektronicznej) cieszą się mniejszą atencją złodziei. Mogę też dodać, że duże korporacyjne antywirusy mogą mieć niewielką skuteczność (lub duże opóźnienie) w przypadku malware dedykowanego na nasz lokalny rynek i konkretny bank. Niezależnie na urządzeniu do przelewów należy mieć zawsze zaktualizowany system operacyjny, oprogramowanie antywirusowe i inne składniki – chociażby Javę – w załączonym materiale widać, że Java jest nieaktualna.
Warto też odwiedzić tą stronę i upewnić się, że na własnym komputerze nie ma tego typu wirusów: http://www.cert.pl/news/8999
Ciąg znaków udający numer konta raz jest tekstem (i ten może zmienić wirus), a raz obrazkiem. Dwa różne ciągi znaków świadczą o infekcji. W takim wypadku proszę o kontakt – pomożemy 😀

Mariusz Kozłowski

Wdrożenie Cisco ESA

SPAM jest niestety naszą smutną codziennością. Przywykliśmy do wirusów wysyłanych jako załączniki, ale niestety pojawia się coraz więcej bardzo wyrafinowanych ataków, które mogą uśpić czujność nawet świadomego użytkownika poczty. Więcej o zagrożeniach ze strony e-maili pisałem w tym artykule. Istnieją rozwiązania, które sprzętowo filtrują pocztę przed jej dostarczeniem. Ich kluczowym problemem było przepuszczenie zawirusowanych maili, które były zaszyfrowane, lub sygnatury antywirusa jeszcze nie rozpoznawały szkodliwego kodu. Ale pojawiło się w końcu skuteczne rozwiązanie.

Jako nieliczni w Polsce mamy za sobą wdrożenie systemu
Cisco Email Security Appliance (Cisco ESA)
Jest to jeden z najbardziej zaawansowanych systemów do filtrowania poczty e-mail. Występuje jako sprzętowy appliance lub maszyna wirtualna pod kontrolą środowiska VMware.

Cisco ESA Appliance

Jak inne tego typu rozwiązania bardzo skutecznie wykrywa wirusy i SPAM przy pomocy wbudowanych silników i bazy reputacyjnej. Jednak posiada także bardzo ciekawy zestaw rozwiązań minimalizujący problemy opisane powyżej. To funkcje Virus Outbreak i Advanced Malware Protection. Urządzenia Cisco w szkielecie sieci wykrywają anomalie (np. nagły wzrost ilości maili o tym samym załączniku) i raportują do odpowiedniego centrum. ESA dostaje informację o „wybuchu epidemii” i przetrzymuje maile pasujące do wzorca w kwarantannie, tak aby otrzymać zaktualizowane sygnatury antywirusowe.

Cisco ESA

Drugi mechanizm polega na przesyłaniu „odcisku palca” każdego załącznika (SHA256) do weryfikacji w odpowiedniej bazie reputacyjnej. Pozwala to w wielu przypadkach wychwycić malware jeszcze przed poprawną weryfikacją antywirusową, a także wyłapać pliki zaszyfrowane, których silnik antywirusowy nie potrafi zidentyfikować.

Cisco ESA

Dodatkowo rozwiązanie ma szereg ciekawych opcji:

  • baza reputacyjna linków www – pozwalająca ostrzec użytkownika przed niebezpiecznym linkiem podanym w mailu
  • funkcja Data Loss Prevention pozwalająca wychwycić wyciek potencjalnie istotnych danych firmowych na zewnątrz.
  • szyfrowanie maili niezależnie od rozwiązań pocztowych odbiorcy
  • podpisywane maili metodą DKIM, co gwarantuje odbiorcy autentyczność treści i nadawcy maila.
  • kwarantanna SPAMu – maile nie będące ewidentnym spamem są przetrzymywane w kwarantannie, użytkownik ma możliwość decyzji, czy mail usunąć czy dostarczyć. Może także użyć białej i czarnej listy na przyszłość.
  • identyfikacja tzw.  graymail – maili od sieci społecznosciowych, reklam od znanych producentów, lub innych wysyłek masowych. Może to ułatwić odbiorcom stworzenie uniwersalnych reguł w programie pocztowym.

Cisco ESA

Jak widać na powyższym obrazku ponad 90% przychodzących maili to SPAM lub zagrożenie.

W razie pytań zachęcam do kontaktu – mamy rozwiązania także dla mikro, małych i średnich firm.

Mariusz Kozłowski