Archive

‘網絡’ 分類過的Archive

SSL/TLS verify after Heartbleed bug discovery

2014年4月15日 評論已關閉

自從上星期的Heartbleed事件, 更多人開始留意網絡加密的安全性。

雖然公司大部份服務器都是Windows,未會有HeartBleed 這類大問題產生。但普片SSL測試網站也包括了上年的NSA加密破解事件中提及的RC4/SSLv2/SSLv3 容易被破解的測試。

Cipher

在WIKI上找到的資料,3DES、DES、RC2、RC4 基本上可以定議為容易破解的加密算法,而SSLv2, SSLv3 協定基本上也需要停用。所以兩日前開始就對公司的Web Servers 及Mail Servers 再一次lockdown。

今次用了NARTAC SOFTWARE的IIS Crypto 1.4來修改Windows Registry
IIS Crypto

只要選Best Practices 就設定好 TLS 1.1/1.2開啟、SSLv2或以下關閉、RC4 128bit以下全關閉,以及修改次序以 TLS 1.2 優先 (要REBOOT才生效)

重啟服務器後再用CheckTLS 及SSLLAB網頁工具測試。

TLSSSL Report

但是昨日發生了問題, Mdaemon 寄信到幾個DOMAIN/ISP出現問題 (SSL negotiation failed, error code 0x80090326)

原來設定了Cipher Suite Order令到SMTP 寄出信件到TLS支援的服務器可能遇到 STARTTLS HANDSHAKE 不了。

最後解決方法是Cipher Suite Order 用返DEFAULT,但就令到Overall Raiting 得返A-。

A-

 

Links

Categories: 網絡, 軟件 Tags: , , , , ,

E-mail sender info@hsbc.com source IP from Microsoft Farm

2013年9月25日 評論已關閉

今日Mail server 收到大量假冒info@hsbc.com的電郵。同事即時去找攔截方法,並翻查server log為何這些假冒電郵能夠跳過 CommTouch 和 SpamAssassin 雙重防線。

  1. 發現HSBC DNS雖然有SPF (Sender Policy Framework),但是最失敗的就是SPF同時設定為SOFTFAIL (接受SPF以外的發送者 / 只標記)。

    HSBC.com text = “v=spf1 mx ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 ip4:204.178.86.20 ip4:203.112.80.9/20 ip4:193.108.72.63 ip4:91.214.7.46 ip4:212.11.24.10/26 ip4:195.68.113.10/26 ip4:85.119.232.200 ip4:205.214.176.20 ip4:193.27.7.13 ip4:212.100.210.103 ~all”

  2. 同時那些郵件大小剛好大於 SpamAssassin 不驗查大於 512KB 郵件的設定。

結果要把Mail Server 的 SpamAssassin 驗查上限修改到1024KB,過完SpamAssassin 後即時被打了17分入了Junk Mail box。

Screen Shot 2013-09-25 at 10.05.00 PM

Reverse Lookup Result of IP 138.91.171.148 結果為Microsoft,好可能是Microsoft Azure Cloud 內,客戶的電腦被Hack吧。

Screen Shot 2013-09-26 at 9.38.43 AM

HSBC 作為一間世界性銀行境然沒用到DomainKeys/DKIM 電郵簽名。而全部Server用Private Cloud 境然設定好SPF 而不設定HARDFAIL (排除SPF 以外的發送者)

而現在網絡頻寛比十年前快了很多,以前深信無人會發大垃圾的觀念可能要改改。以一條100Mbps (12MB/s) Uplink來計算,每秒可以發出大約24個512KB 的垃圾電郵。當然這樣做有些不智,但如果用Hack返來別人的Server來發送的話就不同了。而被Hack的 Cloud 客戶好可能會收到 Bandwidth Cost 的帳單震撼彈。

Reference

Microsoft.com – Description of Sender Policy Framework (SPF) records
Wiki – DomainKeys Identified Mail
OFTA ﹣ 流動通訊服務帳單震撼

 

SFX-ATX PSU

2012年8月16日 評論已關閉

家中的電腦轉用了ITX主板加聯力PC-Q25後,始終有個想法,PC NAS 是否一定需要高輸出的電源?

爬文找了很多測試,Z77+超頻後的IVY BRIDGE 也不過100W,硬盤每一隻10W,PCI-E Dell PERC H700 也最多只有75W (PCI-E power 上限)。即使連5隻硬盤,總和也只有225W。因為機箱對流不佳,電源擋了不少風令到CPU位置積熱,同時也令到硬盤積熱。參考了PC-Q03可選用SFX電源的設計,最後決定了轉用SFX電源。

在不想花太多錢的前題下,放棄了買 FSP 450W (HK$549)及SilverStone 450W ST45SF (HK$7xx) 的念頭,買了DELTA M300W (HK$2xx),但需要找一塊SFX-ATX 轉換板。

花了一些時間,最後在淘宝找到了 “ATX電源位改裝SFX電源的改裝板

Back View

Side View

相對之前用ATX電源,硬盤温度下降了近10度。

 

Categories: ESXi, NAS, 網絡 Tags: , , ,

家裡的VM Server upgrade

2012年8月9日 2 則評論

自六月開始就換了聯力PC-Q25機箱來做家中的VM Server。因為當時用的主板 (Zotac Z68ITX-A-E) 只有兩個GigabitEthernet 口,所以一直不能使用Dual WAN。

後來找到台灣肯懋 (www.commell.com.tw) 有一張 MPX-574D2 mini PCI-E dual GbE module在RS Component 有賣,所以買了一張來試。

但裝上機才發現… 不是所有板能用這卡,手上的ITX板不能偵測這卡的存在。

直到最近找到台灣肯懋的工業板有國內的銷售渠道,而且有一形號LV-67G是mini ITX 用Q67 chipset。onboard 兩個 Intel 82574L GbE NIC,並且可以使用之前買來的MPX-574D2,所以發了個message去問。

雖然售價有點貴,但最後還是敗了一塊回來

  • CPU: i7 2600

  • Memory: Two 8GB DDR3 1333, total 16GB

  • Chipset: Intel® Q67 Express Chipset

  • Display Interface: Onboard VGA

  • LAN Interface: 2 x Intel® 82574L Giga LAN + 2 x Intel® 82574L Giga LAN

  • Extended interface:
    1 x PCI-Express X16 slot – DELL Perc H700
    1 x Mini-PCIe –  MPX-574D2
    1 x Mini-PCI – no use

由於MPX-574D2是mini PCIE 子卡,要引兩組線到外面的接口

好彩H700同主板之間有空間可以過兩組線

DUAL WAN + LAN, 隻USB其實是ESXi5 個Boot disk

在ESXi 內可以見到4張NIC, 而且還可以行9K JumboFrame

pfSenseDual WAN

可能是INTEL 關係, Speed 由原本用Realtek 8111 的只有300Mbps 提升到現在的800Mbps

 

Astaro Security Gateway – Free Home use firewall

2012年2月12日 評論已關閉

由於長期未能解決pfSense 2.0 的PPTP server 問題。所以決定換software.

條件是

  • Linux
  • UTM
  • VMware ready
  • SMP multi processor support
  • IPSec (Site to  Site VPN返公司)
  • PPTP

Wiki 了一會,再用了Google找找。最後選擇了Astaro。
http://www.astaro.com/landingpages/en-worldwide-homeuse

安裝

安裝之前,先在Astaro網頁request了一套home license (後來發現無license也能下載,並且有30日試用)

下載完一個556MB ISO後就準備安裝

在ESXi內,先開一個VM,
CPU : Single socket 2 Core
RAM : 2GB ﹣4GB  (今次開了3GB試試)
HDD : 10GB (無10GB 不肯安裝)
Network : 3xE1000 (LAN,WAN1,WAN2)

再Mount起ISO直接INSTALL。安裝完REBOOT一次就問LAN IP ADDRESS 就完成了。

第一次入WEB界面會有Wizard幫助,問了十個問題左右就完成。

Main Screen 選項分類不太難用,Dashboard 比pfSense 詳細。

Free Home License

進入Management -> Licensing 就能上載伸請來的Free Home License。
Free Home 只是沒有HA 以及限際 50個LAN IP使用,IPS、Antivirus、Anti-spam 提供三年免費更新。

IPSec (Site to Site VPN)

設定上遇到了問題,原來Astaro是不支援Agressive mode IKE,只有Main Mode IKE 可用。沒了Agressive Mode 只好修改公司ROUTER 個設定,用dyndns host name 為peer identity。

PPTP

設定比較簡單,因為預設了IP Address range。只需設定USER就完成。用IPAD測試過可以用。

Speed test – Speedtest.net

由於Astaro有IPS及WEB PROXY,SPEEDTEST.NET只能到200Mbps左右。

Speed test – iperf

但用iperf 返公司電腦 WAN/VPN (BB100)分別有90Mbps及60Mbps

CPU使用方面,
90Mbps NAT時使用了15%
60Mbps IPSec Tunnel 時使用了25%

NAT test, JPerf to Office WAN

VPN test, Jperf to Office LAN through 3DES-SHA1 Tunnel

Speed test – FTP

再測試用filezilla由ftp.cuhk.edu.hk下載檔2個檔案

Fedora-16-x86_64-Live-Desktop.iso (633339904 bytes)
Fedora-16-x86_64-Live-KDE.iso (729808896 bytes)


最後共用了45秒完成。即是1.3GB/45 = 28.8MB/s (~230Mbps)

Speed test – BitTorrent

試用BitTorrent下載幾個大檔案

ubuntu-11.10-server-i386.iso + ubuntu-11.10-server-amd64.iso + ubuntu-11.10-desktop-i386.iso + ubuntu-11.10-desktop-amd64.iso

同時下載4個六百幾MB檔案,尖峰可達12MB/s

預告,下一回寫Performance Tuning.

Categories: ESXi, SoftRouter, 網絡 Tags: , , ,

TP-Link(s)

2012年2月5日 評論已關閉

今年買了很多TPLink 的產品

  1. 5Port Giga Hubs (因為裝了BB1000加了個BBTV 要在客廳加多一個Gigabit port…)
  2. 450Mbps Dual Band Wireless PCI-E Adapter (行OpenWrt用)
  3. 3支8DBi 天線(OpenWrt 用)
  4. 300Mbps WirelessN USB Adapter (為了試300Mbps 2T2R所以買了)

其實以網絡產品而言,TP-Link算做得唔錯了。

Categories: 網絡 Tags:

OpenWrt (2 SSID) + pfSense + ESXi

2012年1月12日 評論已關閉

因為手上的Wireless LAN 卡可以開幾個SSID,所以決定玩多一樣  ﹣Guest Zone。

先在ESXi 內開多一個VMNetwork – Guest 並且設定好Security ﹣Promiscuous Mode=Accept。

並且在現有的pfSense VM及OpenWrt VM各加多一個e1000 Network Interface 並連接到Guest Zone。

OpenWrt 設定好新增的e1000界面及開多一個Bridge Interface  br-Guest

Wireless 加多一個SSID叫OpenWrtGuest,設定好一個易記的WPA Preshared Key 並開橋接到br-guest。

由於是Guest Zone,使用者不可以進入OpenWrt Web管理界面,所以Interface Protocol設定為Unmanaged

pfSense方面,同樣設定好Interface。IP、DHCP Server、Proxy Server。

最後設定Firewall Rules ,Guest Network 除了不能進入LAN Network、Management界面外,其他Traffic 就Accept。

 

 

 

ESXi 下的Open-Wrt Access Point

2012年1月6日 評論已關閉

首先,由openwrt.org下載 virtual disk image http://downloads.openwrt.org/backfire/10.03.1/x86_generic/openwrt-x86-generic-combined-ext2.vmdk

盡量下載最新版本,因為module 是跟版本的。試過10.02 的ath9k driver 是不能驅動TP-LINK TL-WDN4800 (AR9380) 。

Virtual Machine

建立一部VM,Other 2.6.x Linux (32bit)

  • RAM: 32MB
  • HDD: 直接用剛下載的vmdk,
  • LAN: Intel e1000
  • PCI Device: Wireless LAN card

啟動Virtual Machine 後,如網絡環境的IP不是192.168.1.1/24,可以在Console 輸入以下command修改IP

ifconfig br-lan [ip] netmask [netmask]

Configuration

用Browser 進入router IP,設定 LAN IP、Netmask以及root password

作為AP,LAN的DHCP應該停用。
Network->Interface->LAN->DHCP Server, Disable DHCP for this interface

Packages
可以REMOVE iptables 因為bridge 沒用

Install packages

  • wpad-mini (WPA-PSK 必需)
  • kmod-ath9k (Wireless LAN driver,視乎用什麼卡)

reboot  一次再設定Wireless Lan card

Wireless Lan

最基本只需要設定ESSID及Wireless Security。並且將Network 加入到 lan (bridge with LAN)

vSwitch Security

最後一步,就是設定vmware 的vSwitch Security頁內的Promiscuous Mode 一定要設定為Accept,否則wireless client不能Bridge 到LAN zone,全部OpenWrt MAC以外的packet會被 drop.

Categories: ESXi, 網絡 Tags: ,

Home server Oct 2011

2011年10月13日 2 則評論

終於等到 H700 所需的Sff-8087
寫住Home server 的上半Part先

Hardware

  • MB-  MSI Z68A-G45 B3
  • CPU – Intel i7-2600
  • Memory – 4GB DDR3 1333 x 4
  • HBA – Dell PERC H700 512MB with BBU
  • Disk – 2TB SATA HDD x5 (3 Brand 4 Models, RAID 5, 2 Logical Disk)
  • NIC – Broadcom NetXtreme II 5709 Dual Port GbE, onboard Realtek 8111D
  • Power – Antek 380W Power Supply

Software

  • Host – vmware ESXi 5
  • guest – pfSense 2.0
  • guest – Server 2008R2 as NAS

Side view, overcrowded

MSI Z680A-G45 (B3), HK$9xx have VT-d

Dell PERC H700

ESXi installed on 2GB USB Flash, in picture also have H700 battery backup unit.

Front view – the FAN controller lower the HDD Case fan noise

Installed LSI CIM Provider, can view card status

VT-d enabled in BIOS, can mark device for vmdirectpath I/O

 

 

 

Categories: ESXi, i5/i7, 網絡 Tags: , , , , ,

MD-MRTG

2011年9月22日 評論已關閉

原本上星期已有構思,想寫一個插件加到MDaemon去將收到郵件的數量返影給MRTG/CACTI 等rrdgraph。
因為只有rrdgraph才可以有助分析Server 繁忙時間分佈。

找了一會, 想用MDaemon 的guicounts.dat 內數據用WebService Publish 出去.
再找了一會, 找到一個2006件的project MD-MRTG

雖然舊少少, 部份設定不是很好。但經一番修改後總算可以使用。
修改內容如下

  1. index.html font size and graph size double (new target screen width > 1280)
  2. Web Session folder path (non default location)
  3. Graph Max Value of (POP3 session, Mail In/Out, Spam, Network Bandwidth)
  4. Inbound count method support Hash directory (sub directory)




唔睇都唔知, POP3 Session / hour 可以上到28K、SMTP IN 也有近8.5K。
晚上原來有近半的EMAIL是垃圾。

Categories: 網絡 Tags: ,