CISSP CPE学分挣取之路

去年花了大半年的时间与精力通过了CISSP考试并获取了证书,也算是圆了第一份工作(趋势科技)时留下的遗憾。不得不说CISSP证书的含金量在IT认证中确实是数一数二的,光6小时的考试时长就能让不少人望而生畏,更别提它的“认证后”管理。

投入了这么多成本才拿到的证书(699美元),肯定不舍得让它轻易过期,所以renew CISSP必须的CPE(持续专业教育)学分的挣取计划也就提上了日程。CISSP资质有效期是3年,在3年内通过阅读安全书刊、官方课程或参与各种安全实践获得满120个CPE积分,便可保持资质。

在获取官方的CPE课程资源前,需要先加入ISC2的会员。去年7月起,会员费从85美元涨到了125美元,三年就是375美元…

CPE获取方式有很多,例如ISC2官方活动或课程、安全相关的自学、写作或出版、主持网络研讨会或播客、志愿工作、特定的安全项目经历或非安全领域的职业发展活动(有获取上限)等。

更多内容可以参考官方的CPE Guide

 2,192 total views

Permalink Manager功能测试

今早上发现Bing对Workpress的Plain permalinks支持不友好后,准备尝试解决这个问题。一阵搜索后发现自带插件中Permalink Manager比较合适。遂测试看看。

更新:Wordpress官方KB推荐参考Nginx的官方配置建议。对于permalinks的处理,需要加上这段,否则会出现404错误。

location / {
                # This is cool because no php is touched for static content.
                # include the "?$args" part so non-default permalinks doesn't break when using query string
                try_files $uri $uri/ /index.php?$args;
        }

 1,132 total views

本站被Google、Bing收录了!

今早上起来发现本站已被Google和Bing收录,距离第一篇文章发布正好1个月。效率还是挺高的,原本听说新域名收录的速度可能会比较慢的。

但是Baidu和360等国内的搜索引擎仍未收录,不知道收录逻辑是什么,继续等待吧:-)

Bing有个问题,对于Wordpress的Plain固定链接不够友好,似乎不支持对/?p=123这样格式的URL的爬取…看看如何解决。

 1,785 total views,  5 views today

Windows VPN Server部署你需要知道的事

新型肺炎仍局势糜烂,何时复工尚有变数。所以很多公司的IT部门都提供了几乎全员的VPN远程办公方案。但是对于中大型公司,VPN设备的授权数或最大并发数很可能无法覆盖全体员工。更何况,如此大压力下的负载,一定需要一套临时备用VPN方案。这也是笔者最近几天的工作内容。

如果公司IT预算充足,那一台类似像Palo Alto、Fortinet防火墙这样设备的自带SSL VPN功能,就能满足大部分企业的临时需求。当然免费或开源的产品也是一个不错的选项,毕竟VPN是一项非常成熟的技术了。

免费VPN方案有不少,但是在企业环境下部署,对于LDAP或RADIUS认证的支持几乎是必须的。OpenVPN记得只支持SSL,所以前期评测选了Windows自带的VPN Server (Rounting and Remote Access Service)和日本筑波大学的SoftEther项目两款进行测试。

2009年H1N1疫情的时候,笔者曾经为前东家部署过一套备用的Windows PPTP/L2TP VPN Server。所以本着尝鲜的考虑,这次先试用SoftEther。但部署到一半的时候,发现开源版本的SoftEther提示不支持RADIUS:

测试的版本是Ver 4.32 Build 9731 beta,翻了下官方论坛,似乎没有人提报这个问题。Google下来也就一两例,猜测可能是版本过新或Beta版的缘故,准备稍后用旧版本再试一下。

顺便说一个八卦,SoftEther的作者年轻时或许少不经事,2003年就草草与三菱商事株式会社签了销售合同,代价是免费版本的SoftEther不能与三菱在商业市场进行竞争,一直到2014年4月。由此可见,早期创业者尽早雇佣一位律师是多么的重要。

回过头来看Windows RRAS,具体部署文档就不多说了,互联网上一大堆,这里简要说一下注意事项:

  1. 从协议穿透性角度,SSTP>L2TP>PPTP(L2TP主要是运营商对UDP的限流或封杀,PPTP主要是GRE封包的通过性)。注意SSTP如果需要更改默认的TCP 443端口,需要额外配置
  2. L2TP如果是在防火墙NAT后,服务器和客户端都需要修改注册表键值 (修改后需重启):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent > 新建 AssumeUDPEncapsulationContextOnSendRule (DWORD 32-bit)
  3. VPN配置的自动化部署可以用工具:Rasdial (Rasphone.pbk)
  4. Windows 10的话,需要在 更改适配器选项 > VPN连接 属性 > 安全 > 勾选 允许使用这些协议,以支持MS-CHAP v2协议,否则会报错:“已拒绝远程连接,因为未识别出你提供的用户名和密码组合,或在远程访问服务器上禁止使用选定的身份验证协议”
  5. 为了实现Split Tunneling,需要在 控制面板 > 网络和共享中心 > 适配器设置 > VPN连接 > IPv4属性 中 关闭 在远程网络上使用默认网关 (Use default gateway on remote network),从而避免VPN连接成为路由表里优先级最高的线路。如果不修改,所有客户端流量将全都从公司VPN网关出,那要么公司人数不多,要么有很严格的访问策略限制,否则带宽压力会非常大
  6. 为了配合Split Tunneling,需要将公司内网的IP段加入本机的路由表(如需要可添加永久路由-p):
    1. route add destination_subnet mask subnet_mask 0.0.0.0 IF vpn_adapter_number
    2. route add destination_subnet mask subnet_mask vpn_gateway_ip
  7. 注:除了客户端添加路由表,微软官方还有另两种方法:The Classless Static Routes DHCP option (DHCPInform message) 和 Connection Manager Administration Kit (CMAK)。
  8. 参考此篇,将本地连接的优先级降低,将VPN连接的优先级设高,让VPN连接的DNS成为主DNS,从而可以正常解析内网域名:

目前大致就是以上这些心得体会,随时更新。

基于ELK的NetFlow/sFlow流量分析系统

最近接手的IDC运维工作,发现原团队没有好的流量分析系统,以往突发案件需要在出口出的一台机器上抓包分析,缺少历史记录和趋势分析。遂考虑用ELK来建一套。

一阵捣鼓后,发现GitHub上已有成熟的项目了:https://github.com/robcowart/elastiflow

安装过程不复杂,这里记录一下发现的一个bug:锐捷和H3C设备只支持sFlow,用最新版本的LogStash会出现如u0000、u0005、u0000L等乱码。

一阵Google后,降级到7.3版本,问题解决。

 6,774 total views,  4 views today