這問題之前困擾了一陣子,當 Windows 同時有有線網路和無線網路時,預設還是只會走其中一條線路出去

當然是會希望走有線的線路出去,因為比較快也穩定 ~ 所以我們要針對網卡的部份調整一下

網路上搜尋幾篇文章的教學,都是教大家去調整網卡優先權,但我要告訴大家那是沒效的

真正最簡單的方式就是去調整無線網卡的「介面計量」數值,只要把它數值弄高一點優先權就愈低

1. 控制台 -> 網路和網際網路 -> 檢視網路狀態及工作

2. 變更介面卡設定

3. 在無線網路卡上面按右鍵,內容

4. TCP/IPv4 -> 內容

5. 選進階

6. 把介面計量設定為 9000,至於為什麼是 9000 呢?1000 或 5000 可以嗎?是可以的,只要計量數值比有線網卡高就好 ( 可以用指令 netstat -rn 來看 )

設定完之後就可以確保之後如果有接著網路線時,一定是以有線為優先啦!

Bojack 發表在 痞客邦 留言(0) 人氣()

要建置一個 Template 難嗎?其實不難,在虛擬機上按右鍵 Template,看你是要 Clone to Template 還是要 Convert to Template 都可以

至於 Windows 的話,原則上就是有 Security Identifier (SID) 的問題,要解決這問題就得靠 Sysprep 這程式來搞定

在 vSphere 裡安裝好 Windows 2008 之後,在 C:\Windows\System32\sysprep 目錄底下可以看到 sysprep.exe,直接執行它就可以了

執行後就是選「進入系統全新體驗 (OOBE) 」,別忘了勾選「一般化」,關機的選項我選擇用「關機」因為做好之後我就會將它轉成 Template 了

大功告成!

Bojack 發表在 痞客邦 留言(0) 人氣()

今年其實上了不少課,但大多是偏純理論類的課程,按順序是上了 CISSPCHFICDCPECIH

CISSP 和 CHFI 都是在恆逸的假日班去上,而 CDCPECIH 都是在資策會上平日班

其中有去考試的就是 CDCP 和 CHFI 了,六月份去上的 CDCP 在台灣只開過一次課,所以我們是第二梯的學生

CDCP 的課程只有2天,但第2天上完課就要直接紙本考試了 ~ 老師是從特別從香港來開課的,因為他說 CDCP 目前也只有英語授課

所有的講師裡剛好只有他會講中文,所以就來台灣幫大家上課了

二天的課程其實算蠻緊湊的,強烈建議第一天上完課回去一定要複習和再作筆記,第二天考試之前老師會用非常快的速度再提醒大家一次重點在哪裡

沒有考古題,考試為 40 題選擇題,只要答對 27 題就可以取得認證,原則上英文要有基本的閱讀就 OK 了 ~ 目前通過率一班都是 80%

CHFI 是5天的課程,都是在週日上一整天,其實假日上課還蠻累人的,特別是愈接近下課愈沒有精神和體力

原則上 CHFI 的課程講蠻多資安鑑識的理論、方法和工具,在網路上其實找得到考古題,多練習去考試的通過率是 OK 的

印象中是 70 分通過,題目有 150 題選擇題,要花些時間就是了

而 ECIH 是八月中去上的,其實是還蠻冷門的課程,課程的內容說實話蠻像 ISO 27001 LA + CEH + CHFI,這三類的結合,也很狗屎通過了考試

CISSP 今年還不打算考,因為這要花更多時間 ( 還有錢 Q_Q ) 準備,目標就放在 2014 吧!

Bojack 發表在 痞客邦 留言(13) 人氣()

今天有位同仁抱著電腦來問這個問題,記錄一下解決方法 ~ 在 Mircosoft TechNet 找到解決方法

借原文直接引用

1. 進入安全模式(開機時按鍵盤上的F8)

2. 點選左下角開始->所有程式->附屬應用程式->在命令提示字元上點選右鍵選擇以系統管理員身分執行

3. 在黑色視窗輸入net user Administrator /active:yes並按下enter鍵(此動作為將Administrator帳號啟動,若要停用此帳戶時將後面的Yes改為No後即可)

4. 執行完上述動作後重新開機進入正常模式,並以Administrator帳號做登入的動作

5. 登入後點選左下角開始->輸入regedit並按下enter鍵,會出現登錄編輯程式

6. 進入下列機碼HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList,您在左邊的畫面會看到兩個類似的資料夾,應該為為S-1-5-21-xxxxx & S-1-5-21xxxxx.bak(前面都一樣,只有後面有一個會加上.bak)

7. 在S-1-5-21-xxxxx上點選右鍵->重新命名,在檔名最後面輸入.old

8. 在S-1-5-21-xxxxx.bak上點選右鍵->重新命名,在檔名最後面的.bak刪除,檔名會變成S-1-5-21-xxxxx

9. 點選資料夾S-1-5-21-xxxxx在右邊視窗點選RefCount兩下,並將數值修改為0,修改完後點選State兩下,也將數值修改為0

上述動作完成後關閉所有視窗並重新開機,使用原來的帳號登入即可

Bojack 發表在 痞客邦 留言(2) 人氣()

這一篇教學是延續上篇 【Linux】在 CentOS 上安裝 LDAP Server 2.4,考量到日後還要做二台 LDAP Server 資料同步

而二台彼此同步要考量到安全性的問題,所以得採加密傳輸,因此再研究了一下做法

首先要修改一下 /etc/sysconfig/ldap 這個檔案

# vi /etc/sysconfig/ldap

將差不多第 16 行的地方改成這樣

SLAPD_LDAPS=yes

接下來要來製作憑證了,原則上可以參考我以前這篇 【FreeBSD】Apache + SSL 憑證製作 來直接製作,不過 FreeBSD 和 CentOS 的路徑還是有一點點不一樣

因此我還是重新寫一個 For CentOS 的文件

Bojack 發表在 痞客邦 留言(0) 人氣()

最近因任務需求必須將 LDAP Server 從 FreeBSD 移至 CentOS 上面,做個簡單的小筆記

原則上在 CentOS 下安裝 OpenLDAP 是件很輕鬆的事,用 YUM 裝一下就好了,我的環境如下

CentOS:6.4 x86_64

OpenLDAP:2.4.32

1. 安裝 openldap 套件

# yum install -y openldap-servers openldap-clients openldap-devel

2. 複製設定檔到對應的目錄

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
# cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

3. 產生 LDAP 管理者 root 的密碼,並記下來等會兒設定至 slapd.conf

# slappasswd
New password: (輸入密碼)Re-enter new password: (輸入密碼)
{SSHA} UtMBTNpmr8QuRHyDBEQEBljDWwet3iv9

4. 修改主要 Config 檔 slapd.conf (以下是我的範例,僅供參考)

Bojack 發表在 痞客邦 留言(0) 人氣()

架構圖如下

PC ---- 172.16.1.0/24 ( vlan103 ) <---> Core Switch <---> 192.168.1.0/24 ( vlan102 ) ---- DHCP Server 192.168.1.2

之前曾有架設過 DHCP Server 的經驗,不過當時是在同一個網段做 IP 配發的動作

若要在不同網段也配發 IP,舉例來說我的 DHCP Server 在 vlan102 192.168.1.0/24 的網段,想要配發 vlan103 172.16.1.0/24 的網段 IP 該怎麼做呢?

這是我的設定參考一下

ddns-update-style none;
authoritative;
default-lease-time      86400;
max-lease-time          172800;

subnet 192.168.1.0 netmask 255.255.255.0 {
}

shared-network vlan103 {
        subnet 172.16.1.0 netmask 255.255.255.0 {
         range 172.16.1.10 172.16.1.100;
         option subnet-mask 255.255.255.0;
         option routers 172.16.1.1;
         option broadcast-address 172.16.1.255;
         option domain-name-servers 168.95.1.1,8.8.8.8;
        }
}

至於 Router 的部份設定如下,設定 DHCP Relay 即可

interface Vlan103
   ip address 172.16.1.1 255.255.255.0
   ip helper-address 192.168.1.2

 

Bojack 發表在 痞客邦 留言(0) 人氣()

現今的資安問題,其實有很大的問題都發生在網站上面,網站程式若沒有開發好就有可能遭到駭客入侵與攻擊

而網路上的使用者若不小心瀏覽了被駭的網站,也是有可能在不知覺的情況發生中毒或資料遭竊取

網站程式應該如何被檢核呢?簡單來說可分為黑箱 ( 實際模擬駭客攻擊行為 ) 或白箱 ( 檢核原始碼 ) 測試,詳細的資訊可以參考 iThome 這一篇靜態程式碼安全性檢核說明

若對資安有些了解的朋友,針對 WAF ( Web Application Firewall ) 這個字眼應該不會很陌生,在程式尚未改寫已知的漏洞時,這時 WAF 就可以跳出來幫忙擋一下了

不過還是要說,利用 WAF 來擋並不是治本的方法,它只是能就所知的攻擊手法進行防護,程式有哪些 Bug 還是得花時間改寫才能夠確保沒問題

而市面上其實也是有一些 Commercial WAF,不過就是得花$$買,這篇教學是用免錢的方式直接在 Web Server 上架起 WAF 的防護功能

以我的 FreeBSD 環境來說,利用 Ports 就可以很輕易的將 ModSecurity 安裝起來

# cd /usr/ports/www/mod_security
# make install clean

裝好之後來去將設定檔放上去 Apache 裡的 httpd.conf

# cd /usr/local/etc/apache22
# vi httpd.conf

加入下面幾行

# 載入 mod_security
LoadModule security2_module libexec/apache22/mod_security2.so
Include /usr/local/etc/modsecurity.conf

# 將自己假裝成 IIS,等等測試用
<IfModule mod_security2.c>
SecServerSignature "Microsoft-IIS/5.0"
</IfModule>

接下來去產生 modsecurity.conf

# cd /usr/local/etc/
# cp modsecurity.conf-example modsecurity.conf

modsecurity.conf 產生出來之後,可以去做一些適度的修改,以下是我有改的地方

SecRuleEngine DetectionOnly
SecAuditLog /var/log/mod_security/modsec_audit.log
SecDebugLog /var/log/mod_security/modsec_debug.log

好了之後重新啟動 Apache 即可,至於要改 modsecurity 有沒有生效呢?可以透過剛才我們加入假裝成 IIS 的設定來檢驗

# telnet 127.0.0.1 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
get http:1.1 / (輸入左邊的指令)

HTTP/1.1 400 Bad Request
Date: Thu, 24 Jan 2013 07:31:43 GMT
Server: Microsoft-IIS/5.0
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>
Connection closed by foreign host.

到這邊就算安裝完成了,接下來要來設定一些常用的 Rule,在 ModSecurity 的網站上有提供二個版本

一個是 OWASP ModSecurity Core Rule Set ,這是不用錢的,而另一個是 Commercial Rules ,能擋的東西就不少了

本篇的教學既然是以免費的為主,那當然是用 OWASP ModSecurity Core Rule Set 來設定囉 ~~ 先下載 Core Rule Set 設定檔並解開到 Apache 的目錄底下

# cd /tmp
# tar -zxvf SpiderLabs-owasp-modsecurity-crs-2.2.7-0-ga77c1a1.tar.gz
# mv SpiderLabs-owasp-modsecurity-crs-a77c1a1 /usr/local/etc/apache22/Includes/crs

接下來我們要將要啟用的規則與設定都 copy 過去 activated_rules 目錄

# cd /usr/local/etc/apache22/Includes/crs
# cp modsecurity_crs_10_setup.conf.example activated_rules/modsecurity_crs_10_setup.conf
# cd activated_rules
# cp ../base_rules/* .
# cp ../optional_rules/* .

這時再回頭去改一下 Apache 的 httpd.conf 的設定,改這下面這樣

<IfModule mod_security2.c>
SecServerSignature "Microsoft-IIS/5.0"
Include "/usr/local/etc/apache22/Includes/crs/activated_rules/*.conf"
</IfModule>

接下來重新啟動一下 Apache,不過此時會發現一直啟動不了,會有 Error 訊息如下

Syntax error on line 52 of /usr/local/etc/apache22/Includes/crs-bak/activated_rules/modsecurity_crs_20_protocol_violations.conf: Error parsing actions: Unknown action: ver

原因在這裡可以看到,因為目前我在 Ports 安裝的 ModSecurity 是 2.6.6 版,而下載回來的 Core Rule Set 是 for 2.7.0 用的,因為版本不相容的關係所以會無法使用

所以請重新下載舊版的即可,從這邊就可以下載了,再重新啟動一次 Apache ~~ 大功告成!

[1] ModSecurity

[2] 以 ModSecurity 實作 Webapp Firewall

[3] How to install apache2 mod_security and mod_evasive on Ubuntu 12.04 LTS server

Bojack 發表在 痞客邦 留言(0) 人氣()

如果在做 VMware Convert 時發生失敗,且 log 顯示下列錯誤

Error: Unable to obtain the IP address of the destination virtual machine running the Converter helper server.

這表示說您轉移過去的環境是沒有 DHCP Server 的服務,解決的方法是在 Conversion 設定時

在 Options 步驟時點選 Helper VM network 去編輯它,在 Network 的地方手動給它 IP 就 OK 了

[1] vmware community - FAILED: Unable to obtain the IP address of the helper virtual machine

Bojack 發表在 痞客邦 留言(1) 人氣()

這可能是一篇落落長的故事,但我還是要盡力記錄下來 ~ 因為是一個很寶貴的資安事件與經驗

話說我們有一台主機,它的功能是一台委外廠商對外營運的 Web 主機,非常單純 ~ 防火牆就是只有開放 80 Port 可存取

前陣子有一天業管單位說怎麼外面 Internet 的使用者都連不太進來,網路感覺很頓,第一時間我把問題反應給管理 VM 環境的同仁,請他協助查看是否在 VM 環境有異常

而管理 VM 主機的同仁說可能是網路的問題,於是再把問題轉給管理網路的人查看

初步察看的情況,管理網路的同仁說入偵防禦系統有很大量的來自於那台 Web 主機 IP 的異常 log,當下的直覺就是主機可能出問題了

Bojack 發表在 痞客邦 留言(1) 人氣()