Untangle 試用 – Free Multi-function Gateway

公司有些數據線路並沒有架設真正的防火牆, 一方面容易被駭客入侵, 另一方面也沒有記錄到人員使用網路資源, 事後稽核上都有相當的困難, 所以在網路上找到了一套看起來介面很 Cool 的防火牆, 功能也非常的強大, 在公司找台主機裝上來跑跑看.

首先到主網站上下載適當的版本, 我選擇 Untangle Server 版, 因為 for Windows 的效能還會受限於 OS 的限制, 而 Untangle Server 就直接架設在 Linux 上面, 降低資源被 OS 吃掉的機率(讓舊機器有第二春的機會).

裝機的 UI 介面非常友善, 全都是圖形介面, 只要選擇 Keyboard 模式, 選擇語系, 確認格式化硬碟, 選擇網路架構及輸入IP位置, 在安裝過程很快就結束了, 設定畫面完全都由 Web 介面執行, 主機於待機畫面也有 Firefox 的瀏覽器可以使用.

裝好了當然由遠端登入來設定比較順手, 此時除了內部的網路要通之外, 也要讓這台主機可以連結到外部網路 (Internet) 上面去喔, 因為在安裝的過程 Untangle 必須到網站上去更新最新版的套件, 同時 default 也會每天自動去跟新, 一旦有新的 Patch 就會自動套用.

該套件有分為免費的基本套件, 也有需要付費的專業版本 (Paid App), 因為 Untangle 沒有付錢給我, 就不幫他介紹付費的部分, 僅僅說明免費的部分, 有興趣多瞭解的請點選 產品說明網頁.

Untangle Free function List
Untangle Free function List

閱讀全文 Untangle 試用 – Free Multi-function Gateway

DLNA – Sony TV 與 synology

前幾年曾經流行過一陣子數位家庭, 所以有個新的規格叫 DLNA 出現 (請參考網站http://www.dlna.org/home), 對我來看就是需要一個儲存裝置 (不見得是電腦)當做是 Media Server, 裡面存放著媒體檔案包括有音樂, 影片及照片等等, 透過網路(或無線網路)的方式讓異質的播放器 (可能是電視, PC, 或是其他的撥放器), 來播放.

先前跨電腦分享檔案時, 大部分都是分享自已電腦上面的資料夾, 讓其他電腦可以讀取, 但透過 DLNA 的協定(?)規範(?) 就可以在不同的平台, 分享檔案並利用自己的播放機制來播放.

先前買了一台 Synology DS207, 當初本身就有說明要支援這類的服務, 除了架站養動物外, 還可以當做一台媒體伺服器, 最近剛好家裡電視也壽終正寢, 就採購了 SONY 的 LCD TV, 該電視也有支援 DLNA 的協定, 所以就找條網路線接上電視來 Try Try 看.

第一次測試就失敗, 電視可以看到 Synology 主機但是連線失敗, 經過去信詢問後才知道要把軔體升級到 v2.2 beta 版 才有通過 DLNA 認證, 所以只好乖乖的當白老鼠來試.

不過一接上去後, SONY TV 就可以直接抓到 Synology 的資料夾, 並可以播放照片及 MP3, 看起來沒有太大的問題, 影片呢? 因為手邊沒有符合 Mpeg 的格式, 所以還沒撥過, 不知道以後有沒有機會更新 TV 的軔體進而支援更多的格式? 哈~.

與 Downadup 病毒奮戰

最近公司工廠傳入了 Downadup 的病毒, 病毒的說明請參考 Symantec 的網站, 微軟也針對這個疏失也出了相對應的 Patch , 這些更新可以在網站上下載安裝, 不過補強後病毒仍然還是要手動清除..

被發現的原因是偵測到 Server 的安全性稽核一直連續性的失敗, 整個 Log 約設定有 128MB 的空間, 全都是顯示稽核失敗, 此時就已經知道中毒了, 但是來源還沒有被確認, 後來有部分的員工因為有安裝公司使用的防毒軟體, 反應攔截到Downadup這隻病毒 (有其他軟體誤認為 conflick 這隻病毒).

接下來把稽核資料匯出成 CSV 的格式來找出兇手, 因病毒會仿造其他使用者的登入帳密去Try, 在 Event 中看到的稽核失敗的使用者通常不是苦主而是被害者, 所以必須判斷來源端的 IP, 反查回去中毒的電腦是哪一台.

這隻病毒會利用中毒電腦中已知的帳號及密碼去嘗試連結到遠端電腦, 一旦成功後會在遠端電腦自動幫你加入執行病毒的排程, 時時刻刻的都會執行感染的動作.

病毒感染排程
病毒感染排程

要刪除以上作業時記得可以把不要的排程全部選取後, 統一選擇停止執行, 這樣在記憶體的病毒有大部分可以先停止繼續感染, 之後利用 BitDefender 提供的免費移除軟體, 先做第一步的測試來確認解毒步驟是否成功.

Ps. 在這邊也嘗試了微軟的惡意軟體的移除程式 結論是抓不到…

成功後觀察幾個小時後發覺該電腦已經不再繼續攻擊, 確認這隻移除程式可以安全並正確的把病毒移除掉.

接下來就是麻煩的地方了, 需要投入大量人工來做確認:
1.    防毒程式是否有安裝完成, 並更新至最新的病毒碼
2.    人員自己在電腦上面的分享先行關閉, 減少被感染的機會
3.    先行手動變更 Local Administrator 密碼, 防止因該帳號被破解後發生的感染

之後利用公司 Active Directory 的機制把一些自動化的機制佈署下去
1.    檢查 WSUS 機制是否能正常且正確的佈署微軟的更新
2.    宣導使用者於休息時間手選自動更新來佈署
3.    於登入的 Script 加入變更 Local Administrator 密碼
4.    強制執行 BitDefender 的解毒程式

以上步驟就可以紓緩被大量攻擊的壓力, 讓整個 Domain Controller / Server 不會忙著被驗證, 之後再去 Review 稽核日誌內, 看看哪邊有漏網之魚, 針對」頑強」電腦進行人工的掃毒來排除最後的腫瘤.