Nedávno jsem na svůj notebook instaloval Cisco VPN clienta, což je software od Cisca umožňující bezpečné připojení do firemní privátní sítě skrz internet. Obvykle funguje velmi spolehlivě a svižně. V tomto případě jsem ale narazil na velmi podivné chování.
Při instalaci na čerstvě naintalovaný notebook s Windows XP SP2 jsem ale nebyl schopen VPN klienta vůbec nainstalovat. Přitom na předchozí instalaci stejného OS na tom samém stroji fungoval bez ztráty kytičky. Pár hodin mi zabralo, než jsem zjistil, že problém je v kompatibilitě s Comodo firewallem. Jakmile jsem Comodo odinstaloval, vše fungovalo jako na drátkách. Zkoušel jsem ještě nainstalovat Comodo až po úspěšné instalaci VPN klienta. Pak se sice VPN klient spustil, ale nezdařilo se mu navázat připojení. Nestačilo ani vypnutí firewallu, musel být odinstalovaný. Během pokusu o spuštění instalace VPN klienta, ani při vytváření VPN spojení, se Comodo nedotázalo na povolení/zakázání aktuálně prováděné akce či přístupu k síti.
Cisco zalicencovalo ZoneAlarm firewall engine a použilo ho jako součást VPN klienta. Je tedy dost možné, že se nesnese na jednom stroji s dalším firewallem v podobě Comoda. Zaznamenali jste podobný problém ještě s jiným firewallem instalovaným na stanici?
Situaci jsem vyřešil přechodem na ZoneAlarm, se kterým zmizeli veškeré problémy. S integrovaným firewallem v systému Windows XP nemá Cisco VPN rovněž žádné problémy. Ten ale přeci jen neposkytuje plnohodnotnou bezpečnost podle mých představ. Už samotná ignorace veškeré odchozí komunikace není na dnešní poměry příliš vhodná. Výběr firewallu je ale téma na samostatný článek.
Shrnuto podtrženo aktuální verze Cisco VPN Clienta nefunguje korektně na jednom stroji zároveň s Comodo firewallem. Prozatím doporučuji změnit firewall a počkat, zda jeden z budoucích releasů toho či druhého sotwaru problém nevyřeší.
Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.
Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.
Tak například – z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: “v=spf1 mx -all”. Problém vyřešen.
Co mi SPF přinese?
V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.
Jaké jsou nevýhody této technologie?
Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.
Pro koho je SPF vhodné?
SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.
Pro koho SPF není vhodné?
Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.
Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?
Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.
Co pro oživení SPF musím udělat?
Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.
Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.
Jak to funguje?
1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.
2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.
3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.
4. Ten pak odpovídá a vrací výsledek dotazu.
5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.
Správná syntaxe záznamu a příklady
Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.
Nejjednodušší záznam vypadá takto: “v=spf1 -all”
Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. “-all” na konci znamená, že žádný autorizovaný server neexistuje.
O poznání zajímavější je: “v=spf1 mx -all”
Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky “-all” označeny jako neautorizované.
“v=spf1 mx mx:mail.firma1.cz -all”
Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.
“v=spf1 include:mujisp.cz -all”
Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.
“v=spf1 ip4:192.168.0.1/16 -all”
Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 – 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.
Závěr
SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.
O víkendu jsem se věnoval security hardeningu svého domácího routeru a kontroloval nastavení. Při zachytávání paketů Wiresharkem jsem zjistil, že router kromě jiného posílá každé 2 sekundy BPDU Spanning Tree Protokolu (STP). Jelikož v síti nemám více prvků a na smyčky si dávám pozor, rozhodl jsem se STP zakázat. Proč zbytečně posílát něco, co nepotřebuji?
Jak na to? Přes webové rozhraní tuto funkci nenastavíme. Musíme se k routeru připojit pomocí telnetu. Váš telnet klient se připojí k routeru a uvidíte příkazový řádek, kde vše pomocí několika málo příkazů nastavíme.
1. Spusťte vašeho telnet klienta. Příklady telnet klientů: Putty, Microsoft Telnet Client (integrovaný ve Windows XP)
Poznámka pro uživatele Windows Vista: Váš operační systém neobsahuje po výchozí instalaci Microsoft Telnet klienta a je potřeba si ho doinstalovat nebo použít jiný nástroj.
2. Připojte se k zařízení. Pro zjednodušení budu od této chvíle v návodu používat Microsoft Telnet klienta. Není potřeba ho nijak nastavovat, a tak ho stačí jen spustit a zadávat příkazy.
Do Start -> Spustit vepište příkaz ve tvaru “telnet 192.168.101.1”, kde 192.168.101.1 je IP adresou vašeho routeru.
Pokud se vám nedaří spojit přes telnet, ověřte si přes webové rozhraní routeru, že máte přístup pomocí tohoto protokolu povolený: http://192.168.101.1 -> System Setup -> Services -> Enable telnet access
Poznámka: Doporučuji vše konfigurovat z lokální sítě – tedy nikoliv z WAN. Používat telnet skrz WAN prostředí není bezpečné.
3. Přihlašte se jako administrátor. Výchozí uživatelské jméno je admin. Po zadání jména a hesla stiskněte vždy klávesu Enter.
4. Zjistěte si aktuální stav protokolu spanning tree pomocí příkazu “brctl show”. Stav protokolu je buď yes – zapnuto nebo no – vypnuto.
5a. Dočasné vypnutí STP lze provést příkazem ” brctl stp br0 off”. Zapnutí pak obdobně pomocí “brctl stp br0 on”.
5b. Trvalé zakázání STP zařídíte následujícími dvěma příkazy a restartem zařízení.
Tak jsem si na vlastní kůži vyzkoušel, jak vypadá phishing. Jeden taková návnada mi skončila v mailboxu. Autor tohoto kousku se moc nesnažil, takže nebylo potřeba žádné velké úsilí ke zjištění, že jde o pokus o phishing. Pokud Vám něco podobného dorazí do schránky, doporučuji to rovnou smazat. Banka k této problematice vydala poměrně mnoho informací, aby případných poškozených klientů bylo co nejméně.
“Click here” odkazuje kamsi na http://krister.pite.org/czeh/, což rozhodně nebudí pocit důvěry. Že by Česká spořitelna změnila webové stránky?:)
Záhlaví zprávy:
Microsoft Mail Internet Headers Version 2.0
Received: from smtp2f.orange.fr ([80.12.242.151]) by jiribrejcha.net with Microsoft SMTPSVC(6.0.3790.3959);
Sat, 1 Mar 2008 13:29:29 +0100
Received: from me-wanadoo.net (localhost [127.0.0.1])
by mwinf2f06.orange.fr (SMTP Server) with ESMTP id 28F577000246
for <mail@jiribrejcha.net>; Sat, 1 Mar 2008 13:29:29 +0100 (CET)
Received: from User (AOrleans-257-1-26-176.w90-19.abo.wanadoo.fr [90.19.7.176])
by mwinf2f06.orange.fr (SMTP Server) with SMTP id B1633700005F;
Sat, 1 Mar 2008 13:29:25 +0100 (CET)
X-ME-UUID: 20080301122925726.B1633700005F@mwinf2f06.orange.fr
From: “Cesk? Sporitelna” <notesmegs1@note.com>
Subject: SERVIS 24 Internetbanking !
Date: Sat, 1 Mar 2008 13:29:04 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset=”Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20080301122925.B1633700005F@mwinf2f06.orange.fr>
To: undisclosed-recipients: ;
Return-Path: notesmegs1@note.com
X-OriginalArrivalTime: 01 Mar 2008 12:29:29.0288 (UTC) FILETIME=[E5088C80:01C87B97]
Aktualizováno 6.3.2008
Tak za posledních pár dní se z tohoto konkrétního phishingového e-mailu stal spíše spam. Asi se mu zalíbilo v teple mé poštovní schránky a denně dorazí cca 2 kopie. Pravděpodobně si tak brzy vyslouží filtrovací pravidlo, které ho zpracuje a vesele zahodí. Tento e-mail byl celkem prohlédnutelný, ale doporučuji si dát pozor na další takové a to, kam klikáte a komu posíláte číslo svého účtu a další osobní informace. Banky zpravidla nekomunikují pomocí e-mailu přímo s klienty. Když potřebují sdělit něco důležitého, kontaktují vás telefonicky, případně zašlou dopis.
Jelikož řada uživatelů ráda zapomíná hesla, začal jsem se poohlížet po utilitkách umožňujících zjištění zapomenutého hesla (raději se držme anglického password recovery). Nebudu dlouze rozebírat funkci jednotlivých utilit, ale zmíním jen ty, které jsou podle mě nejpraktičtější. Mým stěžejním požadavkem při hledání vhodného nástroje bylo to, aby se jednalo pokud možno o freeware. Recovery nástrojů je celá řada, volně šiřitelných už pak méně.
Mail PassView Velice užitečný nástroj pro obnovení hesla uloženého v účtu v Outlooku 2000-2007, Outlook Expressu, Windows Mailu, Incredimailu, Eudoře, Thunderbirdu a v dalších.
MessenPass
Umí zjisit heslo do ICQ, Live Messengeru, Mirandy, Trillianu atd.
Remote Desktop PassView Název mluví za vše. Dokáže vyzobat heslo uložené v .RDP souboru, což je konfigurační soubor pro Remote Desktop Connection.
WirelessKeyView
Zobrazuje heslo uložené službou Wireless Zero Configuration ve Windows XP.
IE PassView
Další nástroj z dílny Nirsoftu. Podobně jako ostatní umí zobrazit uložená hesla. Tentokrát z Internet Exploreru.
Vřele doporučuji navštívit http://www.nirsoft.net, kde najdete nepřeberné množství takovýchto nástrojů. Jeden mocnější než druhý, až mi z toho leze mráz po zádech. Používejte je prosím s rozmyslem.
Na závěr si neodpustím krátkou security vsuvku. Dávejte si dobrý pozor koho právě pouštíte ke svému PC. Tyto nástroje jsou velmi silné a zjistit heslo je otázkou pár vteřin pro každého trošku znalého člověka. Pokud vám na vašich osobních či pracovních datech záleží a chcete si zachovat soukromí, rozhodně si promyslete, jak je ochráníte proti nepovolaným zrakům. Prvním “bezpečnostním” krokem je uzamknout si stanici, pokud od ní odcházíte. Provedete to prostým stiskem WINKEY+L a po příchodu se k ní přihlásíte zpět. Máte tak jistotu, že během vaší nepřítomnosti nebude s počítačem pracovat někdo jiný.
Na každém PC s Windows XP Service Pack 2 běží služba Centrum zabezpečení (Security center). Má na starosti hlídat vaši bezpečnost a to tak, že monitoruje aktuálnost definičních souborů vašeho antivirového software, zda máte zapnutou automatickou aktualizaci systému a zda běží na vašem počítači firewall. Jakmile jednu z podmínek nesplňujete objeví ve v trayi červená ikonka s křížkem a upozorní vás na případný nedostatek. A právě to má na starosti systémová služba Centrum zabezpečení.
Pokud máte vše v pořádku a přesto na vás vyskakují upozornění, pravděpodobně budete hledat návod, jak se jich zbavit – viz o pár řádku níže. Druhým potenciálním kandidátem na vypnutí této služby je případ, kdy z nějakého důvodu vědomě nepoužívate například antivir nebo firewall a nechcete na to být neustále upozorňováni.
Vypnutí Centra zabezpečení
1. Klikněte na Start -> Spustit a do políčka pro text napište “Services.msc”
2. V seznamu služeb najděte “Centrum zabezpečení” (“Security center”)
3. Klikněte na “Centrum zabezpečení” pravým tlačítkem myši a zvolte “Vlastnosti”
4. V položce Typ spouštění (Startup type) zvolte “Disabled”
5. Potvrďte vše pomocí OK a zavřete okno se službami. Po restartu PC se již služba nespustí a zmizí upozornění.
Komponenta není funkčně důležitá, slouží jen pro informování uživatele o potenciálním nebezpečí. Pokud si tedy spolu s ní nevypnete omylem některé další služby, nemůže se nic stát.
