تركيب شبكة VPN داخلية قليلة التكلفة والحفاظ على أمن المنزل.

بسم الله الرحمن الرحيم,

أردت إيصال الكامرات الأمنية بالشبكة والإبقاء على الإتصال معها خلال تواجدي خارج المنزل ومن ثم بدأت مشوار البحث عن جهاز تسجيل DVR مناسب, ووجدت ضالتي في أجهزة Hikvision و وكيلها الرسمي في الكويت (أمتنع عن ذكر إسمه, لوجود خلاف وتأخر في المواعيد), إستخدام الـ DVR لدي يقتصر على أشياء بسيطة مثل وجود برامج لجميع الأجهزة الذكية, والإستغناء عن خدمات وسيطة, حيث أنه الجهاز يقدم خدمة البث عن طريق بروتوكول RTP القديم وغير الأمن, وعن طريق Cloud P2P والمقصود منها أن يكون الجهاز على إتصال دائم بخدمة طرف ثالث وعليك أن تقوم بتسجيل حساب لدى هذا الطرف ومن ثم يمكنك البحث عن جهازك داخل الـ ‘cloud’, لم ترق لي فكرة الطرف الثالث وكون الجهاز على إتصال بأطراف أخرى.

البروتوكولات الوحيده المتوفره للإتصال بالجهاز مباشرة هُم: http, https, RTP, وللدخول للكامرات عن طريق صفحة الويب http/s فأنت بحاجة لإضافة ActiveX الغير متواجدة إلا في متصفح internet explorer.

لم أجد حلا لتأمين جهاز الـ DVR إلا عن طريق تركيب شبكة داخلية مثل تلك المتواجدة في الشركات VPN للدخول للمنزل بكل أمان وأريحية من مكان بعيد, لذلك قمت بإستخدام قطعة Intel compute.

intel_compute

النظام الأساسي للقطعة كان Windows, قمت بإستبداله بـ Fedora 24.

نقطة مهمة, برامج الجدار الناري firewall متنوعة وكثيرة, لكن أفضلها يأتي من توزيعات Unix من مثل FreeBSD, وهناك توزيعة مخصصة للشبكات المعقدة تدعى pfsense وتحوي جميع البرامج المهمة مثل BindDNS, OpenVPN, ipsec, لتعمل كخادم, ولها واجهة ويب للتحكم بكل تلك الخصائص, وجدير بالذكر أنه برنامج الجدار الناري المتعلق بتوزيعات FreeBSD والمدعو PF بشكل عام, لايعمل على أنظمة Linux  لإختلاف تركيبة النظامين ووجود إتجاهين مختلفين.

أما إختياري للجدار الناري PF, لسبب دعمه بما يسمى road-warrior والمقصود بها الإتصال مع حرية التنقل وتستهدف الأجهزة الذكية (أي لاحاجة لبرامج خارجية).

المشكلة التي واجهتني, عدم دعم توزيعات FreeBSD لعتاد هذه القطعة, ناهيك عن عدم إمتلاكي خلفية عن بنية أنظمة FreeBSD, لذلك كان من الأجدر إستخدام نظام Linux بكل الأحوال, حل تلك المشكلة بسيط جدا وتم عن طريق الأنظمة الوهمية, فبتثبيت مكتبات libvirt قمت بإنشاء نظام وهمي من توزيعة pfsense داخل نظام Fedora على قطعة Intel compute.

pfsense_fedora

بعد إتباع التعليمات وقراءه مستفيضة للكتيبات وبعض المعلومات من موقع pfsense الرسمي, نجح الإتصال لكل من نظام Android ونظام iOS, أما طريقة عمل ال VPN كانت بإستخدام بروتوكول IPsec مع مفتاح مُعين سلفا PSK وبإستخدام إسم للمجموعة والسماح لفئة معينة من المستخدمين بالإتصال Xauth, أما الأن فبستطاعتي تجاوز الكثير من المشكلات الأمنية ولله الحمد, منها جلوس كافة شبكة المنزل خلف الجدار الناري للراوتر وعدم كشف أجزاء منها الأن أو في المستقبل بإذن الله.

vpn_conf

Basic Route Set-Up [Cisco packet tracer lap 9]

Lab instructions

Welcome to one of the Packet Tracer Network simulations. The aim of this lab is to test your ability to perform a basic router setup. You have 15 minutes to complete this simulation.

1. Configure correctly the LAPTOP terminal software and connect to the router console.

2. Configure the router hostname to “GATEWAY”

3. Configure the enable password and secret to “cisco”

4. Configure password encryption for this router

5. Configure the console access : (line console o)

– Login : yes

– Password : “cisco”

– History : 10 commands

– Logging synchronous

متابعة قراءة “Basic Route Set-Up [Cisco packet tracer lap 9]”

The Unix haters handbook

According to the Unix-haters handbook home page located at http://homes.cs.washington.edu/~weise/uhh-download.html, I’m providing a mirror to the book at this link, the home page read the following

The UNIX-HATERS Handbook Download Page
Due to being announced on Slashdot.org, the book has gotten a lot of fresh attention. I’ve added this page so that those downloading the book can be aware of some history before starting their read.

  • This book is ten years old . I started work on it in 1992 (maybe even 1991) while I was a professor at Stanford. My co-editors took over after I started work at Microsoft. (So no, it’s not a Microsoft conspiracy.) A lot has happened in the intervening decade.
  • This book’s target audience was people who themselves have noticed certain weaknesses in Unix at that time and could relate to our stories. Our goal was humor. Many readers have told us we succeeded in this. Even Eric Raymond liked it (his name is in the acknowledgements).
  • The book is not meant to be balanced, it is a screed, pure and simple. Is it over the top? Yes.
  • We wrote the contract with our publisher to have the copyright revert to us once the book went out of print. So yes, we have the right to publish it online. Feel free to mirror it where ever you want, print it out, and bind it.
  • Do I have any regrets? Yes, that the funniest item in the book probably isn’t anything we wrote, but is Dennis Ritchie’s anti-forword. We had asked Dennis to write a forword, thinking that since he was doing Plan 9 at that time it would give him an opportunity to talk about how he had moved on from Unix and fixed its flaws in his next OS. (We were young and had a lot chutzpah then.) He read the Preface, and then sent back his essay. He told us he had worked hard to make it match the tone of its surroundings.
  • If you enjoyed reading this book and felt it was worth the price of a least a movie and popcorn, send a $10 check to your favorite charity.

Now click on the following disclaimer to download the 3.5MB PDF from a site in Massachusetts. I have read the above and will keep it in mind while I read the Unix Haters Handbook.

unable to load certificate 140192887179168:error:0906D064:PEM routines:PEM_read_bio:bad base64 decode:pem_lib.c:812:

بسم الله الرحمن الرحيم,

I received my certificate but I had a problem in verifying it with Openssl, if Openssl can not decode the certificate, then we will have some serious issues since many applications or things are based on Openssl library’s, also we need to compare the given crt with our private key, I have received a zip file contains two identical files, one is txt the other is a crt.

Verifying an with Openssl:

If you encourage such a problem you would do few steps:

  1. Verify the true identity of the files
  2. Check the files by vi with the binary flag ‘-b’
  3. Convert the file to Linux file system
  4. normalize the file by counting 64 character in each line

To verify the identity of the files, use the command ‘file’

And to check the files with vi

If there is any ‘^w‘ at the end of each line, that’s some windows text, you need to strip out any DOS system results by issuing the command ‘dos2unix‘ to the given file (you need to get the package first)”

Now, you should count 64 characters from left for each line, I’m not sure why Openssl dose not do this one on his behalf, since the cert is readable in many application’s (like seahorse).

Lasting step which is been important to fix my Certificate, calculate 64 character for each line,

Recheck the certificate with Openssl, if it’s working great!, let’s match our certificate with the certificate authority (CA),

Now check your certificate if it dose matches with your private key & Certificate Request:

All the md5 sums should match.

I hope this save you all the trouble.

References:

https://www.sslshopper.com/article-most-common-openssl-commands.html

http://srdevspot.blogspot.co.nz/2011/08/openssl-error0906d064pem.html

https://kb.wisc.edu/middleware/page.php?id=4064

https://support.comodo.com/index.php?/Default/Knowledgebase/List/Index/19

Spamming with malware attachments increasing since the Linux mint forum leak {update #1}

بسم الله الرحمن الرحيم,

Update #1 is at the end, the attacker forgot his comments in the script this time.

I have notice a high increase in spamming in my mail box since the Linux mint forum data was leaked, I already received 3 highly crafted spam’s with malicious attachments, the following are the spam address’s, body content, header dump, and then the attachments content:

متابعة قراءة “Spamming with malware attachments increasing since the Linux mint forum leak {update #1}”

HTTP 302 forbidden while using Wget

بسم الله الرحمن الرحيم,

If you have faced the following issue while using wget

— HTTP request sent, awaiting response 403 Forbidden–

Screenshot from 2016-03-14 02-17-45This error means that the site you are trying to access through ‘wget’ had blacklisted wget agent which usually identifies itself as “Wget/1.14 (linux-gnu)”.

To change the user agent string append the flag -U followed the by new string.

? Are you worried you will be exposed if your VPN connection get disconnected

بسم الله الرحمن الرحيم,

If you are using Openvpn you should not worry any more!, just add the following command to your openvpn configuration file pointing to a script that we will discuss later on:

–route-pre-down flag with execute a script following the moment just before removing the routes upon disconnecting, and that script would be putting our network down:

make sure to specify your adapter or network type using the NetworkManager command line nmcli, and to restore your adapter switch the flag “disconnect” to “connect”.

أمن الكمبيوتر

بسم الله الرحمن الرحيم.

التحدث عن أمن الكمبيوتر يشتمل على ثلاثة أقسام رئيسية تدعى بـ الضوابط الأمنية Security Control, وتنقسم إلى ثلاثة فئات:

  1. المادية Physical
  2. التقنية Technical
  3. الإدارية Administrative

وكل فئة يتم تفصيلها بشكل أدق بحيث يسهل تطقبيها.

أولا: الضوابط المادية, تكون بإتخاذ الإجراء المناسب لمنع الغير مخول لهم بالدخول المادي, مثل هذه الإجراءات تكون بـ:

  1. كامرات المراقبة
  2. أجهزة إنذار الحركة أو الأجهزة الحرارية
  3. البطاقات التعريفية
  4. الخزانات الحديدية
  5. التعرف على المؤشرات الحيوية Biometrics مثل بصمة الإصبع أو العين.

ثانيا: الضوابط التقنية, تكون بأخذ الإجراء اللازم لمنع تسرب البيانات والحفاظ على أمن الشبكة, إجراءات أمن الشبكة تكون من مثل:

  1. التشفير
  2. المراقبة الألية
  3. أدوات التسجيل وكشف محاولات الدخول ومنعها
    ويطول الحديث عنها.

ثالثا: الضوابط الإدارية, وتتعلق بالمستخدمين أنفسهم وتحديد صلاحية كل مستخدم وكل تخويل فردي, وتقديم التدريب اللازم -زيادة الوعي- ووضع خطط لمجابهة الكوارث.