Fail2Ban - давно зарекомендовавшее себя решение для Linux систем, позволяющее эффективно выявлять и блокировать вредоносную активность, такую как подбор паролей или поиск уязвимостей. Но как быть, если защищаемые узлы находятся внутри сетевого периметра, а на внешнем контуре находится роутер Mikrotik? Ведь хотелось бы управлять блокировками на уровне всей сети, а не отдельного узла. Нет ничего сложного, в этой статье мы расскажем как быстро и просто обеспечить совместную работу этих двух популярных продуктов.

Шифрование трафика сегодня стало обыденностью, в том числе и для локальных ресурсов, а многие сервисы используют HTTPS по умолчанию. Все это требует упорядочивания работы с сертификатами, и если с внешними ресурсами мы можем использовать тот же Let's Encrypt, то с внутренними все сложнее. Можно использовать самоподписанные сертификаты, но по мере роста сети они будут доставлять только проблемы. Поэтому сегодня мы расскажем как создать собственный простой центр сертификации для локального использования.

Брандмауэр Windows впервые был представлен в 2001 году вместе с выходом SP2 для Windows XP, а современный облик приобрел вместе с выходом Windows Vista, но не смотря на столь преклонный возраст для многих он до сих пор остается чем-то непонятным. Такую ситуацию нельзя считать нормальной, как и полное отключение брандмауэра. Поэтому сегодня мы рассмотрим, как устроен и работает брандмауэр Windows, как он взаимодействует с пользователем и как следует составлять и читать его правила.

Говоря о безопасности, часто подразумевается безопасность сетевая, связанная с возможным удаленным доступом злоумышленника к устройству. Но не меньшее значение имеет безопасность физическая, когда третьи лица получили или могут получить непосредственный доступ к устройству. Это порождает отдельный набор различных угроз, связанный как с потерей конфигурации устройства, так и получения конфиденциальных данных с него. Поэтому в данной статье мы рассмотрим, как можно противодействовать им с помощью встроенных средств Mikrotik.

Веб-сервер Apache до сих пор остается достаточно популярным и де-факто является стандартом веб-сервера для платформы Linux, так или иначе большинство современных веб-приложений продолжают разрабатываться таким образом, чтобы работать на Apache из коробки, кроме того, сам веб-сервер имеет достаточно низкий порог входа и легко осваивается. В данной статье мы рассмотрим, как настроить полноценный веб-сервер на базе Apache с поддержкой PHP и MySQL (стек LAMP) c обязательным шифрованием на базе сертификатов Let's Encrypt.

Атаки "грубой силой" (BruteForce) - весьма распространенный тип атак в сети интернет, который сводится к попытке подбора пароля методом его перебора. Кроме этого, атакующие используют библиотеки словарных слов и списки скомпрометированных паролей, поэтому, даже если у вас используются сложные пароли, не стоит беспечно относиться к подобным угрозам. Конечно, полностью защититься от перебора паролей нельзя, но можно серьезно затруднить этот процесс блокируя атакующих и тем самым уменьшая скорость перебора. В данной статье мы рассмотрим, как защитить от данной атаки Winbox и WebFig роутеров Mikrotik.

Не так давно мы рассматривали, как настроить классический Honeypot (приманку) на роутерах Mikrotik. Такой подход позволяет выявить и впоследствии заблокировать адреса, с которых проявляют нездоровый интерес к вашей сети, однако в современных условиях эффективность данного метода низкая. В тоже время имеет смысл создать подобную приманку и внутри локальной сети, благодаря этому мы сможем своевременно выявить вредоносную активность внутри периметра, а также различные подозрительные действия пользователей, которые могут и не являться вредоносными, но выходить за рамки их должностных обязанностей.

В завершении цикла об обновлении продуктов Proxmox мы рассмотрим сегодня самый узкоспециализированный - почтовый шлюз Proxmox Mail Gateway. Это простое в использовании и бесплатное решение для фильтрации потоков входящей и исходящей почты и эффективное решение для борьбы со спамом и вредоносными вложениями. Каких-либо подводных камней при обновлении шлюза на новую версию нет и на официальном сайте присутствует инструкция, но по уже сложившейся традиции мы публикуем русскоязычный материал с собственными дополнениями.

Многие знают NGINX как быстрый и эффективный веб-сервер, но это не единственное его применение. Не менее популярно его использование в качестве обратного прокси-сервера, который позволяет получить через единственный внешний адрес доступ сразу к нескольким внутренним ресурсам. Потребность в этом может возникнуть, если у вас существует несколько веб-публикаций 1С:Предприятие на разных серверах к которым нужно организовать доступ для внешних клиентов. Также NGINX поможет обеспечить нам безопасность, взяв на себя SSL-шифрование и парольную аутентификацию.

Современный интернет такое место, где вы сразу же становитесь предметом нездорового любопытства для самых широких масс. Вас будут постоянно сканировать, проверять на наличие уязвимостей, открытых портов, пытаться подбирать пароли и т.д. и т.п. В этом случае есть смысл действовать на опережение и использовать Honeypot для выявления потенциальных злоумышленников. В данной статье мы рассмотрим суть этого метода и расскажем к настроить его на роутерах Mikrotik.

Для публикации информационных баз 1С:Предприятие на платформе Windows часто используют альтернативу штатному IIS - веб сервер Apache, который, несмотря на ряд ограничений, тоже неплохо подходит для небольших и средних установок. Одним из очевидных преимуществ Apache является его кроссплатформенность, т.е. если вы умеете настраивать данный веб-сервер на одной платформе, то без особого труда сделаете это и на другой. В данной публикации мы расскажем вам как установить и настроить Apache для публикации баз с SSL-защитой на базе сертификатов Let's Encrypt и дополнительной аутентификацией по паролю.

Безопасность - это вопрос волнующий любого администратора, так как в современном мире, фактически живущем в онлайн, скорость распространения угроз очень велика. Поэтому крайне важно вовремя заметить несанкционированную активность и принять соответствующие меры. В этом нам помогут системы обнаружения вторжений, а именно одна из самых популярных систем для Linux - AIDE (Advanced Intrusion Detection Environment). Несмотря на кажущуюся сложность вопроса, установить и использовать ее довольно просто и в данной статье мы расскажем, как это сделать.

При развертывании комплекса 1С:Предприятие на платформе Windows для веб-публикации информационных баз часто используют IIS (Internet Information Services). Это вполне оправданное решение, позволяющее обойтись только штатными средствами платформы Windows без установки дополнительного софта. В данной статье мы не только рассмотрим процесс публикации различных информационных баз на веб-сервере IIS, но и настроим их работу по защищенному протоколу HTTPS с сертификатами Let's Encrypt, а также добавим дополнительную парольную защиту.

SSL-сертификаты все плотнее входят в нашу жизнь и трудно представить современного администратора, никогда не имевшего с ними дело. Но, как показывает практика, работа с сертификатами все еще вызывает затруднение у многих наших коллег и виной тому недостаточный объем теоретических знаний. Наиболее частые сложности возникают с форматами сертификатов, поэтому мы сегодня решили внести ясность в этот вопрос и разобрать какие форматы сертификатов бывают и как можно выполнять преобразования между ними.

Межсетевой экран, он же брандмауэр или файрвол - важнейшая служба вашего роутера, отвечающая как за его безопасность, так и за безопасность всей сети. Мы до сих пор не рассматривали базовую настройку брандмауэра в отрыве от общей настройки роутера, но как показала практика, многие администраторы откровенно плавают в этом вопросе и имеют некорректно или не оптимально настроенные системы. Как минимум это выливается в повышенную нагрузку на оборудование, а в самом плохом варианте ставит под угрозу безопасность всей сети. Поэтому давайте отдельно разберемся в этом вопросе.

Начиная с сентября 2022 года многие российские сервисы начинают переходить на TLS-сертификаты, выпущенные российским удостоверяющим центром. В связи с чем пользователи могут испытывать проблемы при доступе к таким сайтам. Чтобы этого избежать, нам потребуется установить в систему корневые сертификаты удостоверяющего центра, что позволит системе и браузерам доверять выпущенным им сертификатам. В данной статье мы расскажем, как это сделать в среде операционных систем Ubuntu или Debian, а также в любых основанных на них дистрибутивах.

Выбирая решения для организации VPN администратору приходится учитывать множество факторов, как технологических, так и эксплуатационных. Мало просто установить сервер удаленного доступа, нужно еще выполнить настройку клиентов, а затем управлять ими. Если вы ищите комплексное решение, то следует обратить внимание на Рутокен VPN - который построен на базе OpenVPN и кроме всех присущих этой технологии плюсов реализует поддержку аутентификации по токенам и простое и удобное управление пользователями.

Публикация информационных баз 1С:Предприятие при помощи веб-сервера - один из популярных сценариев удаленного доступа, удобный тем. что можно работать из любого места и даже без установленного клиента 1С, через браузер. Но при этом остро встает вопрос обеспечения безопасности такого соединения. Для этих целей мы будем использовать SSL-шифрование с бесплатным сертификатом от Let's Encrypt, а для дополнительной защиты подключим аутентификацию средствами веб-сервера.

Многие базовые действия в дистрибутивах Linux не меняются множество лет и для многих стали уже привычкой. А привычки - вещь такая: привыкнуть легко, сложно переучиться. Поэтому изменения базовых вещей многими воспринимается в штыки и вызывает крайне негативные эмоции. Apt-key - утилита командной строки для управления ключами пакетного менеджера APT и когда ее объявили устаревшей, то многим это не понравилось. Однако на то были свои причины, а новая система управления ключами во многом даже проще и удобнее, нужно лишь разобраться и привыкнуть.

Продолжая тему импортозамещения и знакомства с российскими операционными системами нельзя пройти мимо системы с говорящим названием - ОСнова. Но это не просто очередная система общего назначения, ОСнова имеет сертификацию ФСТЭК и предназначена в первую очередь для построения защищённых автоматизированных систем, обрабатывающих конфиденциальную информацию и персональные данные. Система коммерческая, бесплатной версии нет, дистрибутив также отсутствует в свободном доступе, но был любезно предоставлен нам разработчиками для обзора.