Wednesday, December 31, 2003

Administering Servers with Webmin

I've been trying Webmin on FreeBSD, Solaris 8, and HP-UX 11i today. Once I repatriate my AIX box from my employer, I intend to install Webmin on it as well. For FreeBSD, I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD project. For Solaris, I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package provided by Webmin. For HP-UX, I downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tarball and installed from source. I tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version packaged by HP with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir port of Apache and Tomcat, but couldn't get it to install on its own. Webmin uses its own "miniserv.pl" so Apache is not needed.

Webmin is a Web-based, cross-platform system administration tool. Although I'm not a huge fan of Web-based interfaces, Webmin is slick. I recommend installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Swelltech cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me, which is cleaner than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default.

Using Webmin I successfully installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lsof package for FreeBSD and Solaris. I didn't have any luck with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same package for HP-UX. Webmin allows you to run commands through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web browser, so once lsof was installed on FreeBSD and Solairs I ran it and viewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser.

One of my favorite aspects of Webmin is its package browsing features. You can peruse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed software very easily. Webmin also makes browsing logfiles a snap.

Webmin's OS support is vast, since it's written in Perl. I noticed however that not all actions work as well as I'd like. For example, when trying to edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD bootup scripts, I was only given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option of editing /etc/rc.local. I expected to edit /etc/rc.conf or scripts in /usr/local/etc/rc.d. I may have been looking in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong place, though.

The two books written about Webmin are both available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web for free. The book written by Webmin's author is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bruce Perens Open Source Series and can be downloaded in zipped .pdf. Swelltech's CEO wrote a book and provides it here.

Besides Webmin, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's also Usermin, designed for end-user work. It's good for reading mail. Virtualmin is a virtual hosting management system developed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Webmin author under contract with Swelltech.

Monday, December 29, 2003

Security 101 Book

Today I was asked for my recommendation for a "security 101" book. I hadn't given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject much thought, although I think Ed Skoudis' Counter-Hack is a great place to start. I looked around my office and found a book Addison-Wesley sent me last year: Internet Site Security by Erik Schetina, Ken Green, Jacob Carlson. After thumbing through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, I've decided it's excellent. I won't review it on Amazon.com, since my policy is to only review books I've read. Still, a mention here is worthwhile.

This book is so solid I adopted its "assess -> protect -> detect -> respond" security process model to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "plan -> prevent -> detect -> respond" version in my own book, just to avoid reinventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheel. They also correct state cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation as "risk = threat X vulnerability X asset value." If you're looking to get your feet wet in security, or if you're a manager who needs to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamentals, Internet Site Security is a fine starting point.

Using Sysmon to Detect Faulty Hardware

No sooner had I posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry on Sysmon than it detected a network problem. Two of my systems were unreachable. They both sat of a DMZ leg of my gateway. After troubleshooting at various layers I narrowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue down to a faulty NIC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway. How often does that happen? Unfortunately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad NIC is a Intel PRO/100+ Dual Port Server Adapter (PILA8472). When trying to ping out from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DMZ, here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of traffic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC generated:

00:39:18.628691 192.168.60.1 > 192.168.60.3: icmp: echo request
00:39:19.638731 0:0:0:0:0:0 > 0:0:0:0:0:0 sap 00 I (s=0,r=0,C) len=80
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
00:39:20.648696 0:0:0:0:0:0 > 0:0:0:0:0:0 sap 00 I (s=0,r=0,C) len=80
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
00:39:21.658706 192.168.60.1 > 192.168.60.3: icmp: echo request
00:39:22.668711 192.168.60.1 > 192.168.60.3: icmp: echo request
00:39:23.678706 192.168.60.1 > 192.168.60.3: icmp: echo request
00:39:24.688706 192.168.60.1 > 192.168.60.3: icmp: echo request
00:39:25.698714 0:0:0:0:ff:54 0:0:0:0:0:0 2410 98:
8d44 2414 50f7 4054 0000 0200 7503 8e68
14b8 5801 0000 50cd 80eb fe90 ff54 2410
8d44 2414 50f7 4018 0000 0200 7503 8e68
44c7 404c 16d5 0100 b858 0100 0050 cd80
ebfe 89f6 2c8f 1128 0100 0000 0cfe bfbf
0100 0000

That is truly bizarre. I replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC with an Adaptec ANA-62044 PCI quad NIC.

FreeBSD on Laptops

I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best I could do for help running FreeBSD on laptops was Linux on Laptops, until I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Laptop Compatibility List. This site even had an entry for my Thinkpad a20p. There's an article at Freebsd.org and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r database of information also available.

I've had various versions of FreeBSD running on this laptop since I tried installing FreeBSD 4.1.1. I plan to install FreeBSD 5.2 REL once issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 todo list are solved.

Saturday, December 27, 2003

Understanding Snort DNS TTL Alerts

While reading a recent Network Computing magazine article, I noticed an interesting discussion of "DNS-based route optimizers." These sounded like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products which confused IDS operators four years ago. I read about it in an earlier NWC article.

This December 2003 article states:

"Handling external Web requests... is accomplished by advertising a low DNS TTL of about 10 seconds. This forces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user's DNS server to request an updated IP address every 10 seconds... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device will provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external IP address that will provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best path through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network."

The whole idea with DNS-based systems is to trick clients into visiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server that's "closest" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in Internet space. By "closest" I mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one offering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest latency. It's a performance enhancement for visitors.

NWC's graphic does a nice job explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mention of "probes." The review mentions ICMP and TCP-based "probes" in its product feature list. NSM analysts might see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se probes and consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m suspicious, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're normal and harmless.

This made me think of recent alerts I'd seen in Sguil, based on this Snort rule:

alert udp $EXTERNAL_NET 53 -> $HOME_NET any
(msg:"DNS SPOOF query response with TTL of 1 min. and no authority";
content:"|81 80 00 01 00 01 00 00 00 00|";
content:"|c0 0c 00 01 00 01 00 00 00 3c 00 04|";
classtype:bad-unknown; sid:254; rev:3;)

This rule was written to detect intruders responding to a victim's DNS query before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimate DNS server does. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this is worthwhile is debatable, especially since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS TTL of exactly one minute. An intruder who uses 59 or 61 seconds evades this rule.

Here is Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real's look for one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS responses which triggered this Snort rule. I queried for www.orbitz.com, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS record it returned had a TTL of 1 minute and no authority records. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS TTL is so low, www.orbitz.com might be using a DNS optimization scheme like that mentioned in NWC.
Compare that to a response for images.amazon.com, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TTL for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first record is 0, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second has is 5 hours 32 minutes, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third is 20 seconds. Amazon.com appears to use Akamai extensively:

Finally, keep those responses in mind when looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS info for a smaller company like Sourcefire that doesn't need to play DNS tricks:

This mini-case study shows how keeping current on Internet infrastructure products helps NSM analysts understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir alerts.

Ways to Install FreeBSD

While perusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newgroups at unix.derkeiler.com, I learned a new way to get FreeBSD. The FreeBSD Project publishes .iso images of its release software, like 4.9 REL or 5.1 REL. Easy enough. Mirrors for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se distributions are available at FreeBSD mirrors.

However, I discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Snapshots site offers .iso images of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version of each tree, e.g., 4-stable and 5-current. You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .iso and finish with a system running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest FreeBSD, assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work on your hardware. If you're more conservative, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y maintain a "security release" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4.8 distribution as well, which right now is 4.8-RELEASE-p13.

You can even finger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir server to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest builds available cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re:

finger @snapshots.jp.freebsd.org

[snapshots.jp.freebsd.org]
FreeBSD/i386:
The latest version of FreeBSD -CURRENT is: 5.2-CURRENT-20031227-JPSNAP
The latest version of FreeBSD 4-STABLE is: 4.9-STABLE-20031202-JPSNAP
FreeBSD/alpha:
The latest version of FreeBSD -CURRENT is: 5.2-CURRENT-20031227-JPSNAP

More information: finger info@snapshots.jp.FreeBSD.org
Service index: finger help@snapshots.jp.FreeBSD.org

I also learned of two new projects to create CD-ROM based FreeBSD systems, like Knoppix: FreeSBIE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD live-FS project. The original live CD project is LiveCD, which exists in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports tree.

In miscellaneous news, I tried two new MBLA3300 Intel PRO/100 CardBus II PCMCIA NICs on my Thinkpad a20p running FreeBSD 5.1 REL. I intend to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for a mobile NSM platform. I found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were recognizes as fxp0 and fxp1, but only if I booted with one NIC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top PCMCIA slot or both in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two slots. One NIC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom slot didn't work!

I'm going to put 5.2 REL on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new release is published next month. I may followed this thread's guidance on disabling ACPI and enabling APM. I learned how to create a restore partition here. If my XFree86 fonts are ugly, I'll try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guidance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XFree86 Font De-uglification HOWTO. At some point I may buy a new laptop with no OS installed, like this.

Friday, December 26, 2003

Adding a New Disk in NetBSD

People complain about FreeBSD's '/stand/sysinstall' program, but I wish I could have used it yesterday when adding an 8 GB HDD to my NetBSD box. I loosely followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official documentation but laughed when I read "Now we create some disklabel partitions, editing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tempfile as already explained. The result is...", followed by a disklabel output created from scratch! This reminded me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intuitively obvious" phrase from my college calculus books.

Here's how I did it. This is what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk looked in dmesg output:

wd1 at pciide0 channel 0 drive 1:
wd1: drive supports 16-sector PIO transfers, LBA addressing
wd1: 8063 MB, 16383 cyl, 16 head, 63 sec, 512 bytes/sect x 16514064 sectors
wd1: 32-bit data port
wd1: drive supports PIO mode 4, DMA mode 2, Ultra-DMA mode 2 (Ultra/33)
wd1(pciide0:0:1): using PIO mode 4, Ultra-DMA mode 2 (Ultra/33) (using DMA data
transfers)

First I ran fdisk. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS never seems to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HDD geometry correct. Luckily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS makes good guesses and I remembered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 geometry when I saw it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HDD label:

bash-2.05b# fdisk -u wd1
Disk: /dev/rwd1d
NetBSD disklabel disk geometry:
cylinders: 16383 heads: 16 sectors/track: 63 (1008 sectors/cylinder)

BIOS disk geometry:
cylinders: 1023 heads: 255 sectors/track: 63 (16065 sectors/cylinder)

Do you want to change our idea of what BIOS thinks? [n] y
BIOS's idea of #cylinders: [1023] 16383
BIOS's idea of #heads: [255] 16
BIOS's idea of #sectors: [63] 63
Disk: /dev/rwd1d
NetBSD disklabel disk geometry:
cylinders: 16383 heads: 16 sectors/track: 63 (1008 sectors/cylinder)

BIOS disk geometry:
cylinders: 16383 heads: 16 sectors/track: 63 (1008 sectors/cylinder)

Are you happy with this choice? [n] y
Partition table:
The data for partition 0 is:
sysid 11 (Primary DOS with 32 bit FAT)
start 63, size 5445972 (2659 MB), flag 0x80
beg: cylinder 0, head 1, sector 1
end: cylinder 338, head 254, sector 63
Do you want to change it? [n] y
sysid: [11] 169
start: [63]
size: [5445972] 8000M
8000M is not a valid decimal number.
size: [5445972] 16384000
Explicitly specify beg/end address? [n] n
sysid 169 (NetBSD)
start 63, size 16384000 (8000 MB), flag 0x80
beg: cylinder 0, head 1, sector 1
end: cylinder 894, head 0, sector 31
Is this entry okay? [n] y
The data for partition 1 is:
sysid 15 (Ext. partition - LBA)
start 5446035, size 11020590 (5381 MB), flag 0x0
beg: cylinder 339, head 0, sector 1
end: cylinder 1022, head 254, sector 63
Extended partition table:
0: sysid 11 (Primary DOS with 32 bit FAT)
start 5446098, size 5510232 (2690 MB), flag 0x0
beg: cylinder 339, head 1, sector 1
end: cylinder 681, head 254, sector 63
1: sysid 5 (Extended partition)
start 10956330, size 5510295 (2690 MB), flag 0x0
beg: cylinder 682, head 0, sector 1
end: cylinder 0, head 254, sector 63
Extended partition table:
0: sysid 11 (Primary DOS with 32 bit FAT)
start 10956393, size 5510232 (2690 MB), flag 0x0
beg: cylinder 682, head 1, sector 1
end: cylinder 0, head 254, sector 63
1:
2:
3:
2:
3:
Do you want to change it? [n] y
sysid: [15] 0
start: [5446035] 0
size: [11020590] 0
Explicitly specify beg/end address? [n]

Is this entry okay? [n] y
The data for partition 2 is:

Do you want to change it? [n] n
The data for partition 3 is:

Do you want to change it? [n] n

We haven't written cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBR back to disk yet. This is your last chance.
Disk: /dev/rwd1d
NetBSD disklabel disk geometry:
cylinders: 16383 heads: 16 sectors/track: 63 (1008 sectors/cylinder)

BIOS disk geometry:
cylinders: 16383 heads: 16 sectors/track: 63 (1008 sectors/cylinder)

Partition table:
0: sysid 169 (NetBSD)
start 63, size 16384000 (8000 MB), flag 0x80
beg: cylinder 0, head 1, sector 1
end: cylinder 894, head 0, sector 31
1:
2:
3:
Should we write new partition table? [n] y

Next I created a disklabel:

bash-2.05b# disklabel -i -I wd1

Basically I messed around with disklabel until something that looked ok was produced. I'm not sure how to get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'd' and 'e' entries or if it's possible. My understanding is that a is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'root' partition, 'b' is usually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 swap file, 'c' is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire disk, and 'd' and on are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r paritions. This is a second non-booting disk:

8 partitions:
# size offset fstype [fsize bsize cpg/sgs]
a: 16514001 63 4.2BSD 0 0 0 # (Cyl. 0*- 16382)
c: 16514064 0 unused 0 0 # (Cyl. 0 - 16382)
d: 16514064 0 unused 0 0 # (Cyl. 0 - 16382)
e: 16384000 63 unused 0 0 # (Cyl. 0*- 16254*)

Then I did 'newfs':

bash-2.05b# newfs /dev/wd1a

Warning: 64 sector(s) in last cylinder unallocated
/dev/wd1a: 16514000 sectors in 16383 cylinders of 16 tracks, 63 sectors
8063.5MB in 50 cyl groups (328 c/g, 161.44MB/g, 20352 i/g)
super-block backups (for fsck -b #) at:
32, 330720, 661408, 992096, 1322784, 1653472, 1984160,
2314848, 2645536, 2976224, 3306912, 3637600, 3968288, 4298976,
4629664, 4960352, 5290016, 5620704, 5951392, 6282080, 6612768,
6943456, 7274144, 7604832, 7935520, 8266208, 8596896, 8927584,
9258272, 9588960, 9919648, 10250336, 10580000, 10910688, 11241376,
11572064, 11902752, 12233440, 12564128, 12894816, 13225504, 13556192,
13886880, 14217568, 14548256, 14878944, 15209632, 15540320, 15869984,
16200672,

When done I could mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new drive on a new directory called '/var/extra':

bash-2.05b# mount /dev/wd1a /var/extra

I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last entry to /etc/fstab:

/dev/wd0a / ffs rw 1 1
/dev/wd0b none swap sw 0 0
/dev/wd0e /var ffs rw 1 2
/dev/wd0f /home ffs rw 1 2
/dev/wd0g /tmp ffs rw 1 2
/dev/wd1a /var/extra ffs rw 1 2

Installing Packages on NetBSD and OpenBSD

Last month I wrote about installing packages on FreeBSD. This entry covers my NetBSD and OpenBSD experiences.

First, a few differences between NetBSD and OpenBSD. Root's default shell in NetBSD is /bin/sh, while OpenBSD uses /bin/csh. This means environment variables can be set in .profile for NetBSD and .cshrc for OpenBSD.

FreeBSD gives users cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to automatically retrieve packages and dependencies remotely, e.g., 'pkg_add -r mtr'. FreeBSD makes its remote retrieval decisions based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed OS. NetBSD and OpenBSD allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, but you must specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS in an environment variable.

For NetBSD, add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following to .profile:

export PKG_PATH=ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All

For OpenBSD, add this to .cshrc:

setenv PKG_PATH ftp://ftp.openbsd.org/pub/OpenBSD/3.4/packages/i386/

These additions make automatic package retrieval easier. I'll install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GTK version of MTR to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process on each OS.

For NetBSD, you can browse or search pkgsrc.netbsd.se to find packages. A visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re shows two versions of MTR: mtr and mtr-gtk (both with version 0.54nb1).

Install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest package with this syntax:

pkg_add -v mtr-gtk

Watch pkg_add find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest package and install it:

parsing: ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All
path: ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All
increasing RLIMIT_NOFILE to max. 1772 open files
trying PKG_PATH ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All
Spawning FTP coprocess
ftp -detv ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All/

Eventually it finds what it needs:

nlist mtr-gtk-*.t[bg]z /var/tmp/pkg.02535d
ftp> cd .
best match: 'ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All/mtr-gtk-0.52.tgz'
'ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All/mtr-gtk-[0-9]*.t[bg]z'
expanded to 'ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All/mtr-gtk-0.5
2.tgz'
Trying to fetch ftp://ftp.NetBSD.org/pub/NetBSD/packages/1.6.1/i386/All/mtr-gtk-
0.52.tgz.
...and so on...

When done, MTR version 0.52 and dependencies are installed:
# pkg_info

pkg_info: disabling PKG_PATH when operating on all packages.
pth-1.4.1nb7 GNU Portable Thread library
bash-2.05.2.7nb1 The GNU Bourne Again Shell
glib-1.2.10nb3 Some useful routines for C programming
gtk+-1.2.10nb3 Gimp toolkit. Libraries for building X11 user interfaces
mtr-gtk-0.52 Traceroute and ping in a single graphical network diagnostic

For OpenBSD, you can browse or search ports.puffy.nu. A search for MTR finds "mtr 0.49" and "mtr 0.49-no_x11". To know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact name, I prefer searching for mtr at BSDcoders. It shows "mtr-0.49
" and "mtr-0.49-no_x11". (One could assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hyphens were needed earlier, but it's good to be sure.)

To install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package, you must specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version, unlike FreeBSD or NetBSD:

pkg_add -v mtr-0.49
Trying to fetch ftp://ftp.openbsd.org/pub/OpenBSD/3.4/packages/i386//mtr-0.49.tg
z.
>>> ftp -o - ftp://ftp.openbsd.org/pub/OpenBSD/3.4/packages/i386//mtr-0.49.tgz
Extracting from FTP connection into /var/tmp/instmp.Zouhf13798
Unknown command.
+CONTENTS
+COMMENT
+DESC
sbin/mtr
man/man8/mtr.8
tar command returns 0 status
pkg: Handling dependencies for mtr-0.49
checking gtk+-* (gtk+-1.2.10p1) -> Not found
checking gtk.1.2 not found
pkg: Handling dependencies for gtk+-1.2.10p1
checking glib-* (glib-1.2.10) -> Not found
checking glib.1.2 not found
checking libiconv-* (libiconv-1.8) -> Not found
checking iconv.3.0 not found
checking gettext->=0.10.38 (gettext-0.10.40p1) -> Not found
checking intl.1.1 not found
...and so on...

When done, mtr-0.49 and its dependencies are installed:

lemelin# pkg_info
bash-2.05b-static GNU Bourne Again Shell
libiconv-1.8 character set conversion library
gettext-0.10.40p1 GNU gettext
glib-1.2.10 useful routines for C programming
gtk+-1.2.10p1 General Toolkit for X11 GUI
mtr-0.49 Matt's traceroute - network diagnostic tool

The best bet for installing newer versions of any software on BSD is to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports tree. The absolute newest version can sometimes be only found in source code from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports tree is modified. Still, to quickly install an app, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package system can't be beat -- especially for large apps with numerous dependencies.

Review of Open Source Network Administration Posted

Amazon.com just posted my four star review of Open Source Network Administration. It's been nearly two months since my last review. I've been extremely busy writing The Tao of Network Security Monitoring, so reading has taken a back seat. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:
"Open source is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wave of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, and James Kretchmar's Open Source Network Administration (OSNA) catches that wave in fine form. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is only 238 pages, it contains several gems. I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book specifically for its coverage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Multi Router Traffic Grapher (MRTG), OSU's Flow Tools, and Sysmon. By following Kretchmar's instructions, I easily installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se three applications."

Simple Network Health Performance Monitoring with Sysmon

Do you need a simple Web-based application to check if your systems and/or applications are alive? I learned about Sysmon when reading Open Source Network Administration.

Once I wrote my own configuration file to watch my systems, I followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's instructions to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sysmon installation. The result is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small screen shot at left. Since you don't need to spend a lot of time checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of my network, you can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea by reviewing this image. The green systems are all up. The yellow ones just became unreachable. I forgot to return on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to service after working on it. Since it's a bridging firewall for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second box, both are listed in yellow. The orange/reddish entry is a missing box. I lent it to my office for a case, and when it returns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record will be green again!

Sysmon is a good alternative to Nagios or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Management Information System (NMIS) if you only need to do simple monitoring of 10-100 systems. Sysmon can check availability by reading HTTP replies and connecting to arbitrary TCP ports, as well as pinging remote systems.

Wednesday, December 24, 2003

Cisco Icons Online

Do you need networking icons for presentations or papers? Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 completely free, non-copyrighted Cisco collection. I learned about it after reading a tip in Cisco's Packet magazine.

Besides having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 icons for use in OpenOffice, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zipped .pdf of conceptual icons is handy. It helps you decode Cisco diagrams by recognizing what certain symbols mean.

Thursday, December 18, 2003

Learning To Install Open Source Software on Solaris and HP-UX

This summer I bought an Ultra 30 workstation and an HP Visualize B2000 workstation to learn Solaris on SPARC and HP-UX on PA-RISC, respectively. Today I worked on installing open source software on each. Starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sun box running Solaris 8 on SPARC, I visited Sun Freeware, an absolutely incredible site providing free compiled binary packages of key open source software. Here's a sample installation:

1. FTP to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sunfreeware site to retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package for bash
2. Unzip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package with 'gzip -d'
3. Install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package with 'pkgadd -d'

I later installed wget, which made step one much easier. I was even able to install OpenSSH using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site's instructions, which outlined step-by-step cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions needed to install a necessary Solaris patch, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required packages, create keys, and so forth. I made my own startup script using ideas from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions:

#!/bin/sh
#
# Simple OpenSSH start script by Richard Bejtlich

SSHCONF=/usr/local/etc/openssh/sshd_config

case "$1" in
start)
echo "Starting sshd using $SSHCONF."
/usr/local/sbin/sshd -f $SSHCONF
echo "Done."
;;
stop)
echo "Killing sshd."
kill `ps -elf | grep /usr/local/sbin/sshd | grep -v grep | awk '{print $4}'`
echo "Done."
;;
restart)
$0 stop
$0 start
;;
esac

For my HP-UX needs, I visited anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r awesome site -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software Porting And Archive Centre for HP-UX. They offered all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packages I needed, but before installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m I needed to get my HP-UX box to finish its boot process. It was hanging while looking for an NFS server, so I followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directions here to fix it:

1. Enter single user mode by booting and hit 'ESC' to interrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boot process.
2. Enter 'boot pri isl'
3. Say 'y' to interact with ISL
4. At ISL prompt enter 'hpux -is boot'
5. In single user mode, mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following filesystems: /usr and /var
6. Edit with 'vi' /etc/rc.config.d/nfsconf and say 'NFS_CLIENT=0'
7. 'reboot'

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HP-UX site, I downloaded HP-UX's version of packages, called "depots". For example:

1. FTP to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HP-UX site to retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package.
2. Unzip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package with 'gzip -d' into /usr/local/depot.
3. Run 'swinstall -s /usr/local/depot/<.depot file>'

swinstall when used through a Telnet session is a curses-like package installer. Eventually I installed OpenSSH and used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model for Solaris to get it to work on HP-UX.

Thank goodness for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se free repositories of open source software! Would you believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a "top" command included with Solaris 8? I was able to install it from Sunfreeware, though.

I considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day a success when I had GCC, wget, bash, and OpenSSH on both boxes, along with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir dependencies. When I retrieve my AIX box from work I plan to use Bull Freeware to install OpenSSH and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r programs. I also found AIX freeware at Darren Tucker's OpenSSH page and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UCLA Public Domain Software Library for AIX. The Encap Archive offers its own package format but lots of software.

Wednesday, December 17, 2003

Verisign Acquires Guardent for $140 Million

Big news from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 managed security services space. Consolidation continues, as big companies looking for growth opportunities acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small fries. Today Verisign announced it bought Guardent (yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Guardent URL spells cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's name incorrectly) for $140 million in stock and cash. Guardent currently employees about 150 people.

Update: Here's eWeek's analysis.

Tuesday, December 16, 2003

Getting Your FreeBSD Box to Speak 802.1q Trunks with a Cisco Switch

I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following setup on my home LAN:

cable modem - cisco router - freebsd fw/gw - cisco switch - clients

< The client boxes are in two separate VLANs with different address spaces. I needed a way for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be able to talk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD 4.9 REL firewall/gateway without wasting two interfaces on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fw/gw. Here's how I set this up. I'm no Cisco guru so excuse my lack of shortcuts. I got some help from this how-to, this thread, and this Cisco guide. First, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch, I created my VLANs:

gruden#conf term
Enter configuration commands, one per line. End with CNTL/Z.
gruden(config)#vlan 20
gruden(config-vlan)#name green
gruden(config-vlan)#end

gruden#conf term
Enter configuration commands, one per line. End with CNTL/Z.
gruden(config)#vlan 10
gruden(config-vlan)#name yellow
gruden(config-vlan)#end

Next I created my trunk port to speak to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD box:

gruden#conf term
Enter configuration commands, one per line. End with CNTL/Z.
gruden(config)#int fa0/24
gruden(config-if)#switchport mode trunk
gruden(config-if)#end

gruden#sh int fa0/24 switchport
Name: Fa0/24
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

Protected: false

Voice VLAN: none (Inactive)
Appliance trust: none

Then I added each switch port to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate VLAN. This is what adding a single port looks like:

gruden#conf term
Enter configuration commands, one per line. End with CNTL/Z.
gruden(config)#int fa0/1
gruden(config-if)#switchport mode access
gruden(config-if)#switchport access vlan 10
gruden(config-if)#end

gruden#sh int fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 10 (yellow)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

Protected: false

Voice VLAN: none (Inactive)
Appliance trust: none

On to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD box! I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commands to set it up. Note that fxp2 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single physical interface connected to interface 0/24 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco switch:

ifconfig vlan0 create
ifconfig vlan1 create

ifconfig vlan0 vlan 10 vlandev fxp2
ifconfig vlan1 vlan 20 vlandev fxp2

ifconfig vlan0 inet 10.100.100.1 netmask 255.255.255.0
ifconfig vlan1 inet 172.207.200.1 netmask 255.255.255.0

ifconfig fxp2 up

When done, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interfaces on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD box look like this:

moog# ifconfig vlan0
vlan0: flags=8843 mtu 1500
inet 10.100.100.1 netmask 0xffffff00 broadcast 10.100.100.255
inet6 fe80::2d0:b7ff:fe61:3234%vlan0 prefixlen 64 scopeid 0xa
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 00:02:b3:0a:cd:5b
media: Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet autoselect (100baseTX )
status: active
vlan: 10 parent interface: fxp2
moog# ifconfig vlan1
vlan1: flags=8843 mtu 1500
inet 172.207.200.1 netmask 0xffffff00 broadcast 172.207.200.255
inet6 fe80::2d0:b7ff:fe61:3234%vlan1 prefixlen 64 scopeid 0xb
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 00:02:b3:0a:cd:5b
media: Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet autoselect (100baseTX )
status: active
vlan: 20 parent interface: fxp2
fxp2: flags=8843 mtu 1500
inet6 fe80::202:b3ff:fe0a:cd5b%fxp2 prefixlen 64 scopeid 0x3
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 00:02:b3:0a:cd:5b
media: Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet autoselect (100baseTX )
status: active

To make this automatic, add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se entries to /etc/rc.conf:

cloned_interfaces="vlan0 vlan1"
ifconfig_vlan0="inet 10.100.100.1 netmask 255.255.255.0 vlan 10 vlandev fxp2"
ifconfig_vlan1="inet 172.207.200.1 netmask 255.255.255.0 vlan 20 vlandev fxp2"
ifconfig_fxp2="up"

When done, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10.100.100.0/24 and 172.207.200.0/24 networks will be able to talk to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD box.

MRTG with FreeBSD and a Cisco Router

It doesn't get much easier than this. I wanted to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Multi Router Traffic Grapher (MRTG) to my NSM tool collection. Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions provided by Open Source Network Administration and Cisco, here's how I did it. bourque is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of my FreeBSD 4.9 REL NSM sensor and gill.taosecurity.com is my Cisco router.

First I enabled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SNMP server on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router. Replace 'public' and 'private' with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r community strings, like I did. (These are examples.)

gill(config)#snmp-server community public RO
gill(config)#snmp-server community private RW

Make sure you set up an access list on interfaces where you don't want people accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SNMP service on your router:

access-list 101 deny udp any any eq snmp log

Next install an Apache Web server on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system which will hold MRTG's output:

bourque# pkg_add -r ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/apache+mod_ssl-1.3.29+2.8.16.tgz
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/apache+mod_ssl-1.3.29+2.8.16.tgz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/mm-1.3.0.tgz... Done.
bourque# apachectl start

Next install MRTG:

bourque# pkg_add -r ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4.9-release/All/mrtg-2.9.29_3,1.tgz
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4.9-release/All/mrtg-2.9.29_3,1.tgz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4.9-release/All/p5-SNMP_Session-0.95.tgz... Done.

Now configure MRTG:

bourque# mkdir /usr/local/www/data/mrtg
bourque# cfgmaker --global 'WorkDir: /usr/local/www/data/mrtg'
--global 'Options[_]: bits' --global 'IconDir: icons'
--snmp-options=:::::2 --subdirs=HOSTNAME --ifref=ip
--ifdesc=alias --output /usr/local/etc/mrtg/mrtg.cfg
public@gill.taosecurity.com

--base: Get Device Info on public@gill.taosecurity.com:::::2
--base: Vendor Id: cisco
--base: Populating confcache
...edited output...

mkdir /usr/local/www/data/mrtg/icons
cp /usr/local/share/mrtg/* /usr/local/www/data/mrtg/icons/

Now start MRTG:

bourque# mrtg /usr/local/etc/mrtg/mrtg.cfg
WARNING: /usr/local/www/data/mrtg/gill.taosecurity.com/
did not exist I will create it now
...ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warnings; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are normal for initial start-up...

Create an index page for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server and add an entry in cron to periodically collect MRTG data:

bourque# indexmaker --output /usr/local/www/data/mrtg/index.html
--columns=1 /usr/local/etc/mrtg/mrtg.cfg

bourque# crontab -l
*/5 * * * * /usr/local/bin/mrtg /usr/local/etc/mrtg/mrtg.cfg
--logging /var/log/mrtg.log

You'll want to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following link for each router name so MRTG can find its icons:

ln -s /usr/local/www/data/mrtg/icons/
/usr/local/www/data/mrtg/gill.taosecurity.com/icons

When you're done you'll see graphs like this when you visit http://sensor/mrtg/index.html. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's only a little bit of data at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far left side, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's only been awake for a few minutes.

That's all you need for a basic install. Notice I'm accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor using HTTP. I could enable HTTPS and access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor using that method. Also, be careful running a Web server on your NSM appliance. Lock down who can access it.

Friday, December 12, 2003

CAIDA to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rescue

Kudos to CAIDA for applying real research to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCO Web site was hit by a DoS attack or not. CAIDA used its Network Telescopes to watch backscatter from SCO servers and confirmed SCO Web and FTP servers were indeed flooded:

"At 3:20 AM PST on Wednesday, December 10, 2003, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UCSD Network Telescope began to receive backscatter traffic indicating a distributed denial-of-service attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCO Group. Early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, unknown perpetrators targeted SCO's web servers with a SYN flood of approximately 34,000 packets per second...

Around 2:50 AM PST Thursday morning, December 11, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker(s) began to attack SCO's ftp (file transfer protocol) servers in addition to continuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server attack. Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r www.sco.com and ftp.sco.com experienced a SYN flood of over 50,000 packet-per-second early Thursday morning. By mid-morning Thursday (9 AM PST), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack rate had reduced considerably to around 3,700 packets per second. Throughout Thursday morning, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ftp server received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brunt of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high-intensity attack on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ftp server lasted for a considerably shorter duration than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server attack. At 10:40 AM PST, SCO removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir web servers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and stopped responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incoming attack traffic. Their Internet Service Provider (ISP) appears to have filtered all traffic destined for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web and ftp servers until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y came back online at 5 PM PST.

In spite of rumors that SCO has faked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 denial-of-service attack to implicate Linux users and garner sympathy from its critics, UCSD's Network Telescope received more than 2.8 million response packets from SCO servers, indicating that SCO responded to more than 700 million attack packets over 32 hours."

Wednesday, December 10, 2003

Creating Fake Interfaces and Bonding Them

In June I posted a way to bond two FreeBSD interfaces to a third unused interface for purposes of combining tap outputs and sniffing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result. This method used ng_one2many and was based on advice from Andrew Fleming. In July I corresponded with John Bradberry who shared his method of using ng_fec, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man-page-less Fast Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Channel netgraph(4) module.

Two months ago John posted his method, which looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email he sent me in July. I finally got a chance to try it, and can report that it works. Here's what's required on a stock FreeBSD 4.9 REL system where sf2 and sf3 see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap outputs. First, build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ng_fec kernel module:

cd /usr/src/sys/modules/netgraph/fec
make
make install

Next, create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual fec0 interface which will see traffic from sf2 and sf3 simultaneously. Note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of single quote and double quote around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface names.

ngctl mkpeer fec dummy fec
ngctl msg fec0: add_iface '"sf2"'
ngctl msg fec0: add_iface '"sf3"'
ngctl msg fec0: set_mode_inet
ifconfig sf2 promisc -arp up
ifconfig sf3 promisc -arp up
ifconfig fec0 -arp up

That's it! When sniffing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fec0 interface, you'll see all traffic that sf2 and sf3 see. You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of this process using a few commands. kldstat shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 KLDs that were loaded automatically:

bourque# kldstat
Id Refs Address Size Name
1 4 0xc0100000 43d388 kernel
2 1 0xc211b000 3000 ng_socket.ko
3 2 0xc211f000 9000 netgraph.ko
4 1 0xc212d000 3000 ng_fec.ko

ifconfig shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new interface:

bourque# ifconfig fec0
fec0: flags=8943 mtu 1500
inet6 fe80::200:d1ff:feed:34df%fec0 prefixlen 64 scopeid 0xe
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 00:00:d1:ed:34:df
media: Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet none
status: active

/var/log/messages shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fec0 interface in action:

Dec 10 18:27:10 bourque /kernel: fec0: port sf2 in bundle is down
Dec 10 18:27:10 bourque /kernel: fec0: port sf3 in bundle is down
Dec 10 18:27:12 bourque /kernel: fec0: port sf2 in bundle is up
Dec 10 18:27:12 bourque /kernel: fec0: port sf3 in bundle is up

Bruce Schneier on Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast Blackout

Bruce Schneier wrote about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible role of MSBlaster in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 14 August 2003 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast electrical blackout. He reports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 November interim report (.pdf) by a joint US-Canadian taskforce:

"The coincidence is too obvious to ignore. At 2:14 p.m. EDT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSBlast worm was dropping systems all across North America. The report doesn't explain why so many computers--both primary and backup systems--at FirstEnergy were failing at around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. But MSBlast is certainly a reasonable suspect.

Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report doesn't directly address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSBlast worm and its effects on FirstEnergy's computers. The closest I could find is this paragraph, on page 99: "Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a number of worms and viruses impacting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and Internet connected systems and networks in North America before and during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outage, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SWG's preliminary analysis provides no indication that worm/virus activity had a significant effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power generation and delivery systems. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SWG analysis will test this finding."'

Bruce's article makes valid points. Until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel explains why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electricity monitoring systems failed, MSBlaster will remain as likely a suspect as any.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report's goals interesting:

"Phase I: Investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outage to determine its causes and why it was not contained.

Phase II: Develop recommendations to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of future outages and minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of any that occur."

This sounds exactly like an incident response plan I use at client sites. In recognizes that determining what happened is important, but that total prevention of future incidents is impossible.

US Government Security Report Card

Yesterday Congressman Putnam of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US House Committee on Government Reform announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government's computer security report card (.pdf). FCW summarized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time two agencies scored above 90%: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nuclear Regulatory Commission earned top honors with an A, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Science Foundation received an A-. The grades were based for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four-year program on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act (.pdf) reportedly an improvement over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Information Security Reform Act (GISRA) (.pdf).

I found it amusing that after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press NASA received for working with SANS to patch systems in 2001 (.pdf), NASA's score has consistently dropped. NASA scored a C- in 2001, a D+ in 2002 and now a D- in 2003. In 2001 NASA was lauded as a "poster child" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "vulnerability-focused approach to eliminate security problems."

Apparently SANS no longer thinks addressing vulnerabilities is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir latest NewsBites, SANS reports on a new security survey of "IT professionals." The survey reports "eighty-seven percent [of respondents] said software patches for known vulnerabilities are up to date at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir companies." SANS' comment on this statistic is telling: "The saddest part of this study is that it reinforces one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest lies of security - that organizations that keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems patched but do not harden operating systems are keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems safe... It's time to stop pretending, and start making sure every system administrator can prove he/she knows how to safely configure a system before being given root or administrator privileges."

My approach has always been simple: prevention fails. Period. Security staff must take steps to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right sorts of information to efficiently scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent of compromise and guide recovery. That's why network security monitoring (like implemented by Sguil) is required.

Sunday, December 07, 2003

Creative Commons

After reading why Microsoft Word is not a document exchange format, I found myself at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Creative Common Web site. Their goal is "to build a layer of reasonable, flexible copyright in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of increasingly restrictive default rules." I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir license builder interesting.

Saturday, December 06, 2003

Spammers Target Cambridgeshire Police Force

I learned of this scam via this Sophos report. Spammers are sending messages which appear to be receipts for £399.99 Apple iPods. The message lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cambridgeshire Police Force in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of contact for complaints. This sounds more like a prank than a structured attack, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept is sound. I imagine we'll see more of this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Here's what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email looks like:

Subject: Transaction Receipt (UKCards)
From: "UKCards"
------------------
Please note: All charges to your statement
will appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "UKCARDS LIMITED".

Order Information
Amount: £399.95
Currency: GBP
Merchant Name: HUNTINGDON MAIL ORDER
Description: iPod Music Player 40GB

Customer Service
Telephone: 01480 456111
Email: N/A

Delivery Address
47 Silver Street, London, NW1 5TR

If you have any questions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery
of this order or product details please contact
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchant directly using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above details.

Friday, December 05, 2003

I commend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Debian project for detailing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact timetable and methodology associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir recent compromise. They posted a detailed report on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident Tuesday. I found several points noteworthy. First, notice how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion. Sharp admins knew something was amiss, and a host-based IDS detected file changes:

"On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening (GMT) of Thursday, November 20th, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin team noticed several kernel oopses on master. Since that system was running without problems for a long time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was about to be taken into maintenance for deeper investigation of potential hardware problems. However, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, a second machine, murphy, was experiencing exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems, which made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admins suspicious.

Also, klecker, murphy and gluck have Advanced Intrusion Detection Environment (package aide) installed to monitor filesystem changes and at around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time it started warning that /sbin/init had been replaced and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mtime and ctime values for /usr/lib/locale/en_US had changed."

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's actions:

"On Wednesday, November 19th, at approximately 5pm GMT, a sniffed password was used to log into an unprivileged developer account on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host klecker (.debian.org). The attacker cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n retrieved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code through HTTP for an (at that time) unknown local kernel exploit and gained root permissions via this exploit. Afterwards, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SucKIT root-kit was installed.

The same account and password data were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used to log into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine master, to gain root permissions with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same exploit and also to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SucKIT root-kit...

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next day cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker used a password sniffed on master to log into gluck, get root cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and also install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SucKIT root-kit."

How was all this password sniffing done? Were clear text protocols involved?

Thursday, December 04, 2003

1500 Helpful Review Votes at Amazon.com

I'd like to thank everyone who's voted my Amazon.com reviews to be "helpful" over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 3+ years. I started seriously reviewing books with Radia Perlman's Interconnections, 2nd Ed in May 2000. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I've written reviews of 116 books on security and computing topics. Some reviews of poor books caused quite a stir. Several were pulled only to have me resubmit "just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of direct quotes. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs caused me to argue with certain members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community who praised books cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should not have. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were too out of touch to realize printing 250 pages of C code did nothing to teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader about "hacking."

Every month I received many books to review. I only read those on my reading list or those that surprise me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir originality. I don't review books I've skimmed, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason I've stopped reading was disappointment with content. As a result, many of my newer reviews are positive. Why waste time reading and reviewing a poor book? I don't get paid for reviews, but I do work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side evaluating proposals and manuscripts.

I hope you find future reviews helpful!

Tuesday, December 02, 2003

Exploiting Cisco Routers Article

SecurityFocus published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequel to an article on exploiting Cisco routers. This has been happening for a while but this article spells out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details.

Monday, December 01, 2003

Quirks of NetBSD

Exactly two months ago I reported installing FreeBSD, NetBSD, OpenBSD, and Debian on my laptop for test purposes. Yesterday I tried to upgrade a different box from FreeBSD 5.1 RELEASE to FreeBSD 5.1 CURRENT. I've had no luck getting my SMC 2632W or 2602W wireless NICs, or an Orinoco Gold wireless NIC, to work in any modern version of FreeBSD. (I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2632W working with FreeBSD 4.5 and earlier using this hack.) I thought trying CURRENT might be a good idea but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 install failed. Wireless support is my biggest grievance with FreeBSD. I used a wireless NIC on OpenBSD 3.3 fine yesterday.

So, I decided to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed FreeBSD install with NetBSD 1.6.1. I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS installed but found it to be quirky. It works fine, but it's got its own peculiarities that separates it from FreeBSD. For example, I installed "everything," but OpenSSH was not installed by default. In fact, nothing was listening by default. What is this, OpenBSD? Not even OpenBSD is so draconian. The install process also doesn't give an easy way to configure networking. I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate entries to /etc/rc.conf because it uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same format I know from FreeBSD.

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official documentation, I was able to get going. If it weren't for Google, I wouldn't know I have to use CTRL-ALT-F4 to switch to terminal 4, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than ALT-4 like most UNIX OS'. I also found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetBSD package system installs software into places like /usr/pkg/bin/ racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than /usr/local/bin. NetBSD looks to be picky about licenses too. Here's what I saw when trying to install OpenSSH from /usr/pkgsrc/security/openssh:

===> openssl-0.9.6l has unacceptable license: fee-based-commercial-use.
===> To build this package, add this line to your /etc/mk.conf:
===> ACCEPTABLE_LICENSES+=fee-based-commercial-use

I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change and OpenSSH installed fine. I had trouble figuring out why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /usr/pkg/etc/rc.d/sshd script wouldn't work properly, so I ended up enabling sshd via a 'sshd="YES"' line rc.conf. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unneeded OpenSSH, OpenSSL, and Perl packages. I was sad to see though that my wireless NIC still didn't work. In any case, every BSD is a little different, so that's why I'm trying NetBSD.

Friday, November 28, 2003

Snort Add-Ons

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few days I've reviewed several add-ons for Snort. First, everyone using Snort knows about Barnyard. Barnyard processes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spo_unified plugin, which Marty first described in June 2001. spo-unified creates two log files.

To paraphrase Marty, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert file contains event data (generator, sid, rev, classification, priority, event_reference), timestamp, source IP, destination IP, source port, destination port, protocol, and TCP flags (if applicable). The log file contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event data, flags that indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stored packet (reassembled fragment, etc.) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw binary packet.

Barnyard reads unified output and sends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r plugins. In most cases those are database plugins.

MudPit is an alternative to Barnyard. Mudpit was written to overcome cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that receiving eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alert or log data can be insufficient to validate an event, but receiving both simultaneously is wasteful.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil project we use our own version of unified output with a modified Barnyard process and new database schema.

Dragos Ruiu wrote Cerebus to read unified output and displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results in a text-based GUI.

I learned today via this post of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fast LOgging Project for Snort (Freshmeat site). FLoP doesn't use unified logging at all. It sends Snort output via UNIX domain sockets.

On a slightly different note, I've noticed a few more ambitious projects. For several years CERT has maintained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AirCERT project as a means to share alert data among sensors. I read about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Source Security Information Management (OSSIM), Monitoring, Intrusion Detection, Administration System (MIDAS), and Crusoe IDS (announced here) projects, which each bring togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data from multiple tools to improve event detection. This is different from Sguil's approach, where we let Snort provide alert data and we provide context using sessions, full content, and eventually statistical data. I know of at least one vendor, Endace, who sells a product featuring data from multiple open source tools.

Voice-Based Fraud Detection

The Register reports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest in fraud detection:

"Online insurer Esure is to use technology that recognises when a speaker is under stress in a bid to detect fraud. The company hopes using voice risk analysis (VRA) technology will speed genuine claims, cut fraud and make its claims process more efficient... VRA - which identifies micro changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voice that can occur when a speaker is showing higher levels of stress - will be used by esure from 4 December.

The company is keen to emphasise that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology is a 'stress detector' not a lie detector. When a speaker experiences stress when answering a question or recounting an exaggerated or false statement, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir voice changes, according to studies originally conducted in Israel. It is this factor that VRA registers and assesses. The system compares responses to particular questions with baseline responses, answers to simple questions that can only be answered truthfully."

Let's consider this for a moment. Say I suffer a car accident. I am going to be very stressed. If I were calling to report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accident, will I trip "VRA"? Of course my voice pattern will differ from earlier calls made to check my deductible or get a new statement mailed. Here's a case where false positives will result in Esure losing business. Still, fraud reduction is a worthy goal.

Thursday, November 27, 2003

According to Reuters, a 38 year old Home Depot worker was arrested for stealing laptops from Wells Fargo. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

"Police recovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equipment at Krastof's home, along with equipment used for scanning identity cards and checks, he said. 'He is a low-level ID cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft kind of guy,' White said of Krastof. Krastof told police that he did not know that sensitive data was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer, according to [policeman] White.

Wells Fargo will be able to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $100,000 reward it had offered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arrest was made from regular police work and not a tip, White said.

Investigators traced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer to Krastof when he logged onto his own America Online account at home through one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen computers, White said. That enabled authorities to connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer's Internet Protocol address, a number that identifies a computer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, to Krastof's home address through his AOL account, White said."

The article glosses over an important point: how was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen computer identified? Wells Fargo may have deployed one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Lojack for laptops" solution discussed recently by SC Magazine that send a beacon announcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presence. Also, why would Krastof say "he did not know that sensitive data was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer" when he's an identity thief?

Update: This Slashdot thread alerted me to a second story whose AOL usage description is different:

"A break in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case came in recent days when Krastof plugged one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers into a wall socket and turned it on. 'He logged onto an (America Online) account that was registered on that computer and we traced it back to his phone number and address,'' White said."

Ah ha. The original article said "Krastof... logged onto his own America Online account." Obviously if he logged in using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AOL account native to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop, AOL could watch for those logins and report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to law enforcement. Case closed. I gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "analyst" too much credit for thinking "phone home" software might have been used.

Wednesday, November 26, 2003

Ron Gula Replies to Information Security Review of NeVO

You may have read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fairly critical Information Security review of NeVO by Tenable Security. CTO Ron Gula posted a response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus-ids group which makes for good reading:

"Since NeVO is on 'all' of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and it matches for specific vulnerabilities, that means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability and IDS correlation which occurs at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lightning Console is that much more accurate. Our concern at Tenable is that doing correlation based on 'old' vulnerability data (like on a month old Nessus scan) or 'relavent' vulnerability data (like all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIS security holes) can produce false correlations."

Monday, November 24, 2003

Tepatche - Automatic OpenBSD System Patcher

I continue to watch for tools to keep BSD systems up-to-date. I learned of a new application for OpenBSD called Tepatche. The author wrote this article for next month's Sys Admin magazine. He also mentions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 openbechede package management project.

Incidentally, Colin Percival reports he's attained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $1000 mark needed to buy a new box to provide freebsd-update binary updates. Hopefully we'll see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m available for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5.X tree soon.

While poking around Amazon.com I found a new BSD book will be published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring: FreeBSD and OpenBSD Security Solutions.
Wells Fargo Offers $100,000 For Info Leading to Conviction of Laptop Thief

ZDNet reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"Wells Fargo said on Friday it had offered a $100,000 reward for information leading to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arrest and conviction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burglar who stole a bank consultant's computer that had sensitive customer information on it. The computer was one of several stolen earlier this month from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office of an analyst for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank in Concord, California, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank said. The stolen PC contained names, addresses, bank account numbers and social security numbers for customers who had taken out personal lines of credit that are used for consumer loans and overdraft protection, according to Wells Fargo. No passwords or personal identification numbers were among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen data and no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Wells Fargo customers were affected, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank said... The bank alerted affected customers this week [and] was also monitoring customer accounts, changing account numbers and paying for a year's subscription to a credit monitoring service."

This tells me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bank consultant's computer" didn't employ encryption to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer data. It may have taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of a computer to stress cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of California's new privacy laws.

Finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Name of FreeBSD Packages to Install

I usually install FreeBSD applications using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports system, but I wanted to know how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package collection as well. I wondered how to quickly locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name and URL of a package so I could pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a parameter to pkg_add -r. Using this command FreeBSD fetches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package specified and installs any dependencies automatically.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Ports Changes page. Here you can query for a package (or port) by name, and more importantly, specify which distribution you want. For example, if you wanted to install Nessus, you could choose from:

  • FreeBSD 4.9 RELEASE: packages created when 4.9 REL was announced

  • FreeBSD 4.x STABLE: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most up-to-date packages built for FreeBSD 4-stable

  • FreeBSD 5.1 RELEASE: packages created when 5.1 REL was announced

  • FreeBSD 5.x CURRENT: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most up-to-date packages built for FreeBSD 5-current


Let's say I wanted to install Nessus. What do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se packages look like for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 i386 architecture?

Essentially you have to recognize what version of FreeBSD you're running, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate package. Let's say I'm maintaining a FreeBSD 4.9 RELEASE system and want to install Nessus as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package was installed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4.9 REL CD-ROM. In that case I'd choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nessus-2.0.7.tgz package for FreeBSD 4.9 RELEASE. I use this option when I create installation instructions for Sguil, to simulate building a server using only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD-ROM packages.

Most people want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest edition of any application. If I wanted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest and greatest version of Nessus on my 4.9 RELEASE system 'janney', I'd install nessus-2.0.8a.tgz. The second option looks like this:


janney# pkg_add -r ftp://ftp6.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/nessus-2.0.8a.tgz
Fetching ftp://ftp6.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/nessus-2.0.8a.tgz... Done.
Fetching ftp://ftp6.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/nessus-libraries-2.0.8a.tgz... Done.
Fetching ftp://ftp6.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/nessus-libnasl-2.0.8a.tgz... Done.

To simulate installing Nessus as a package on a FreeBSD 5.1 RELEASE system 'moog' from a 5.1 REL CD-ROM, I'd add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old nessus-2.0.5_1.tbz package. To get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very latest version of Nessus on a FreeBSD 5.1 system I'd add nessus-2.0.8a.tbz. The second option looks like this:

moog# pkg_add -r ftp://ftp6.freebsd.org/pub/FreeBSD/ports/
i386/packages-current/All/nessus-devel-2.0.8a.tbz
Fetching ftp://ftp6.freebsd.org/pub/FreeBSD/ports/i386/
packages-current/All/nessus-devel-2.0.8a.tbz... Done.
Fetching ftp://ftp6.freebsd.org/pub/FreeBSD/ports/i386/
packages-current/All/nessus-libraries-devel-2.0.8a.tbz... Done.
Fetching ftp://ftp6.freebsd.org/pub/FreeBSD/ports/i386/
packages-current/All/nessus-libnasl-devel-2.0.8a.tbz... Done.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different package compression schemes -- .tgz for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4.9 system and .tbz for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5.1 system. Also see that I passed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire package URL as an argument to 'pkg_add -r'. The '-r' switch tells pkg_add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package is "remote." For each installation I chose "ftp6.freebsd.org" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than simply "ftp.freebsd.org". This made pkg_add use one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mirror sites racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than pound cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main FTP server.

In each case I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate URL from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Ports Changes page. What if I didn't specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL, but only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package name?

On a FreeBSD 4.9 system, this happens:

bourque# pkg_add -r nessus
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4.9-release/Latest/nessus.tgz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4.9-release/All/nessus-libraries-2.0.7.tgz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4.9-release/All/nessus-libnasl-2.0.7.tgz... Done.

On a FreeBSD 5.1 system, this happens:

moog# pkg_add -r nessus
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-5.1-release/Latest/nessus.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-5.1-release/All/nessus-libraries-2.0.5_1.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-5.1-release/All/nessus-libnasl-2.0.5_1.tbz... Done.

Notice in each case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packages built for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RELEASE are installed by default. There is probably a way to change this behavior to automatically retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest edition, but I haven't found it yet.

Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example. I chose this one so you could see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package installation process solves dependency issues. Here I install darkstat, a lightweight alternative to ntop.

bourque# pkg_add -r ftp://ftp.freebsd.org/pub/FreeBSD/ports/
i386/packages-4-stable/All/darkstat-2.6.tgz
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/darkstat-2.6.tgz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/libiconv-1.9.1_3.tgz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/
packages-4-stable/All/gettext-0.12.1.tgz... Done.


Keep in mind that package installation bypasses all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports system.

If you want to install a slew of packages at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, check out POPS: "Package Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PackageS" for FreeBSD. This is a ~600 MB CD-ROM .iso with various packages selected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 POPS creator. He likens POPS to a "Linux distribution" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that most FreeBSD installations are fairly minimal.

On a related note, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r king of software installation, Debian, released 3.0r2 last week. The Slashdot thread was informative. I learned of useful sites like apt-get.org and backports.org, as well as tools like apt-secure and aptitude.

Friday, November 21, 2003

Tim O'Reilly on Computer Books

Tim O'Reilly of O'Reilly publishing answered questions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economics of writing on computer topics. I found this excerpt interesting:

"Your choice of publisher helps [a book be successful]. The clearest lesson from Bookscan (to refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that started this thread) is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market is consolidating. Fully 80 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market shown by Bookscan (about 65-70 percent of U.S. domestic retail sales, including online accounts) is owned by Pearson, Wiley, O'Reilly, and Microsoft Press, in that order. If you add Osborne and Sybex, you get to 90 percent. (Pearson is a conglomerate owning many individual imprints--AW, PH, Peachpit, Sams, New Riders, Brady, Cisco Press, Adobe Press, Macromedia Press, etc.--so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market looks more diverse than it actually is.) Having been a small publisher who worked my way up over many years, I won't say it [success of a book sold by a small publisher] can't be done. But I think it's a lot harder than it was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 '80s and '90s. In short, being part of an established series at an established publishing house is, unfortunately, very important."

I'm glad my publisher is Pearson's Addison-Wesley!

Wednesday, November 19, 2003

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Tidbits on SSH, IRC, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Topics

I needed to bounce through a couple systems while working on a hostile classroom network this week. I found this book excerpt which explains how to chain SSH connections.

I started using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EPIC IRC client on FreeBSD and I wanted to use a customization script. I remembered using Splitfire and found it to be useful. In #snort-gui we've been using Pastebot to provide chunks of text via HTTP racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than IRC on homefries.

Rob Lee's incident-response.org domain registration apparently expired and was scooped by someone else. You can access Rob's site via IP address at http://66.96.178.49/.

Anyone using Secure Instant Messaging Protocol?

Jamil Farshchi published this article on wireless IDS.

PostgreSQL 7.4 Released. Watch Out For MySQL "Gotchas"

PostgreSQL 7.4 was released this week. We use MySQL in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil project but we used PostgreSQL with older NSM tools. I learned about this MySQL "gotchas" site showing odd MySQL behavior. This could prompt a war between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MySQL and PostgreSQL communities.

Speaking of wars, I ran across a site which claims to benchmark various UNIX operating systems. The results caused a crazy thread among OpenBSD users.

What Makes For Credible Certifications?

Peter Stephenson contributed to a SC Magazine article that featured criteria for credible certifications. I found his comments worthwhile:

"The major question to be asked about certifications and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir value is: 'Where does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cert come from and what are its objectives?'

A good industry certification will have several recognizable components if it is to be credible:

  • It is based upon an accepted common body of knowledge that is well understood, published and consistent with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objectives of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community applying it.

  • It requires ongoing training and updating on new developments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field.

  • There is an an examination (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception is grandfacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring, where extensive experience may be substituted).

  • Experience is required.

  • Grandfacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring is limited to a brief period at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 founding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification.

  • It is recognised in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applicable field.

  • It is provided by an organization or association operating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interests of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, usually non-profit, not a training company open to independent peer review.



There are credible certifications that are not money-grabs. However, as with anything that promises to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquirer’s status, it is always a case of 'buyer beware.'"

Peter Stephenson is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executive director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Institute for Digital Forensic Studies. His organization's new Certified Information Forensics Investigator Certification (CIFI) follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guidelines.

On a related note, Peter Denning wrote an article (.pdf) two years ago where he defined a profession as having four components:

  1. A durable domain of human concerns

  2. A codified body of principles (conceptual knowledge)

  3. A codified body of practices (embodied knowledge including competence)

  4. Standards for competence, ethics and practice

Tuesday, November 18, 2003

Network Security Monitoring Saves My Bacon

Long-time readers of this blog know I subscribe to a security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory called network security monitoring. Two of NSM's principles are "some intruders are smarter than you" and "intruders are unpredictable." Believing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se principles changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way defenders look at watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. If you assume a smart, unpredictable enemy, you have to take as many defensive actions as possible in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote hope of catching a bad guy.

This morning I tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se principles not against an intruder, but against a piece of software that took an unexpected action. I was looking for an IRC proxy and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Night-light IRC proxy. I installed it through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD ports system without a problem. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n checked my sockstat output to see what was listening. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following unexpected entry:

USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root getty 534 0 tcp4 censored:50396 213.145.164.10:25

This looks like my system just connected to 213.145.164.10 on port 25 TCP. I did an nslookup on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IP and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results:

moog# nslookup 213.145.164.10
Server: ns01.rtchrd01.md.comcast.net
Address: 68.48.0.5

Name: brokenarrow.night-light.net
Address: 213.145.164.10

So apparently my box spoke to brokenarrow.night-light.net. I assumed this was a mail server for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 night-light.net domain, but I checked this with nslookup:

-bash-2.05b$ nslookup
Default Server: ns01.rtchrd01.md.comcast.net
Address: 68.48.0.5
> set type=mx
> night-light.net
Server: ns01.rtchrd01.md.comcast.net
Address: 68.48.0.5
Non-authoritative answer:
night-light.net preference = 5, mail exchanger = brokenarrow.night-light.net
Authoritative answers can be found from:
night-light.net nameserver = brokenarrow.night-light.net
night-light.net nameserver = jonas.night-light.net
night-light.net nameserver = emptyglass.night-light.net
brokenarrow.night-light.net internet address = 213.145.164.10
jonas.night-light.net internet address = 217.118.34.42
emptyglass.night-light.net internet address = 217.118.34.41

Note I could have connected to port 25 on brokenarrow.night-light.net directly. However, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM principles is to never touch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of suspicious activity, to avoid notifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder of your investigation.

I also looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation and saw this:

Sending compilation report to ircproxy-report@night-light.net.

The ircproxy has compiled successfully. To install it type 'make install',
if you choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root option, remember to 'su root' first.


So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is "Now what?" The event didn't trigger any Snort alerts. After all, this is probably just my system sending email. But what did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email contain? Did this new application mail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of my password file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer? Can I trust this developer?

There's two ways to proceed. A host-based approach involves checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system hosting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new application for odd activity. This includes checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 routines that created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 socket with brokenarrow.night-light.net.

A network-based -- or NSM -- approach involves checking alert, session, full content, and statistical data for clues. Luckily I had tcpdump data available, so I rebuilt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

moog# tcpflow -c -r snoop.lpc
220 brokenarrow.night-light.net ESMTP Sendmail 8.12.6/8.12.6;
Tue, 18 Nov 2003 16:43:36 +0100 (CET)
EHLO moog.manass01.va.comcast.net
250-brokenarrow.night-light.net
Hello censored.manass01.va.comcast.net [censored], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-DELIVERBY
250 HELP
MAIL From: SIZE=11475
553 5.1.8 ...
Domain of sender address richard@moog.manass01.va.comcast.net
does not exist
QUIT
221 2.0.0 brokenarrow.night-light.net closing connection

The email was never sent. brokenarrow.night-light.net rejected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempt because it didn't recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sender. While this doesn't tell me exactly what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email would have contained, I know I did not leak any data as a result of this incident.

Saturday, November 15, 2003

TruSecure: "k3wl ," Like "Hackweiser and G-force Pakistan"

The BBC wrote an article about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat intelligence group, "codename IS/Recon (Information Security Reconnaissance)." They're TruSecure's "moles" -- people who befriend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "underground" and acquire information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intentions and capabilities. The national intelligence community calls that "human intelligence," or HUMINT.

The article claims TruSecure "currently tracks more than 11,000 individuals in about 900 different hacking groups and gangs." It also states cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y collect "200 gigabytes of information a day," which "has enabled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team to help out with 54 investigations by law enforcement agencies. IS/Recon gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI over 200 documents about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Melissa virus author after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were asked to get closer to suspects."

Friday, November 14, 2003

Mapping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet on a Dare

Slashdot reported on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Opte Project. It's a single guy who's mapping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet using code he wrote. Commercial companies like Lumeta provide much more enhanced functionality, but this is still a cool hack.

The Slashdot thread features commentary by Hal Burch and Fyodor, and a useful summary of similar projects. The image at left is supposedly "1/5 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet," but as one Slashdot reader mentioned, it looks a lot like a brain! Given Google has replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brain of many people, I imagine this image is appropriate. :)

Trying Fedora Core 1

Today I installed Fedora Core Release 1 in a VMWare session on my laptop. I was unable to using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD-ROMs I burned and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same error as described in this thread. I ended up installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three .iso files on my laptop hard drive. I installed a default desktop into a 4 GB partition. Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 daemons listening, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filesystem stats, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uname output:
[root@localhost root]#netstat -natup

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address   Foreign Address  State      PID/Program name

tcp        0      0 0.0.0.0:1026    0.0.0.0:*        LISTEN     1665/rpc.statd

tcp        0      0 127.0.0.1:1027  0.0.0.0:*        LISTEN     1830/xinetd

tcp        0      0 0.0.0.0:111     0.0.0.0:*        LISTEN     1645/portmap

tcp        0      0 0.0.0.0:22      0.0.0.0:*        LISTEN     1814/sshd

tcp        0      0 127.0.0.1:631   0.0.0.0:*        LISTEN     1777/cupsd

tcp        0      0 127.0.0.1:25    0.0.0.0:*        LISTEN     1851/sendmail: acce

tcp        1      0 127.0.0.1:1034  127.0.0.1:631    CLOSE_WAIT 2103/eggcups

udp        0      0 0.0.0.0:1024    0.0.0.0:*                   1665/rpc.statd

udp        0      0 0.0.0.0:993     0.0.0.0:*                   1665/rpc.statd

udp        0      0 0.0.0.0:111     0.0.0.0:*                   1645/portmap

udp        0      0 0.0.0.0:631     0.0.0.0:*                   1777/cupsd

[root@localhost root]#df -h

Filesystem            Size  Used Avail Use% Mounted on

/dev/sda2             3.6G  1.9G  1.6G  54% /

/dev/sda1              99M  6.3M   88M   7% /boot

none                   62M     0   62M   0% /dev/shm

[root@localhost root]#uname -a

Linux localhost.localdomain 2.4.22-1.2115.nptl #1

 Wed Oct 29 15:42:51 EST 2003 i686 i686 i386 GNU/Linux

The coolest thing in my opinion was trying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yum (Yellow dog Updater, Modified) program. When fedora.redhat.com was down this afternoon I followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se instructions to add a backup source for yum. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n used yum to add nmap. It worked like a charm:
[root@localhost root]# yum install nmap

Gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring header information file(s) from server(s)

Server: Fedora Core 1 - i386 - Base

Server: Fedora Core 1 -- Fedora US mirror

Server: Fedroa Linux (stable) for Fedora Core 1 -- Fedora US mirror

Server: Fedora Core 1 updates -- Fedora US mirror

Server: Fedora Core 1 - i386 - Released Updates

Finding updated packages

Downloading needed headers

Resolving dependencies

Dependencies resolved

I will do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

[install: nmap 2:3.48-1.i386]

Is this ok [y/N]: y

Getting nmap-3.48-1.i386.rpm

nmap-3.48-1.i386.rpm      100% |=========================| 368 kB    00:02

Running test transaction:

Test transaction complete, Success!

nmap 100 % done 1/1

Installed:  nmap 2:3.48-1.i386

Transaction(s) Complete

Unfortunately, since no package of ettercap was available, I couldn't try adding it. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n gave up2date a try. I used it too update packages on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
[root@localhost root]# up2date-nox -u

Fetching package list for channel: fedora-core-1...

Fetching http://fedora.redhat.com/releases/fedora-core-1/headers/header.info...

########################################

Fetching package list for channel: updates-released...

Fetching http://fedora.redhat.com/updates/released/fedora-core-1/headers/header.info...

########################################

Fetching Obsoletes list for channel: fedora-core-1...

Fetching Obsoletes list for channel: updates-released...

Fetching rpm headers...

########################################

Name                                    Version        Rel

----------------------------------------------------------

glibc                                   2.3.2          101.1               i686

glibc-common                            2.3.2          101.1               i386

nscd                                    2.3.2          101.1               i386

Testing package set / solving RPM inter-dependencies...

########################################

glibc-2.3.2-101.1.i686.rpm: ########################## Done.

glibc-common-2.3.2-101.1.i3 ########################## Done.

nscd-2.3.2-101.1.i386.rpm:  ########################## Done.

Preparing              ########################################### [100%]

Installing...

   1:glibc-common           ########################################### [100%]

   2:glibc                  ########################################### [100%]

Stopping sshd:[  OK  ]

Starting sshd:[  OK  ]

   3:nscd                   ########################################### [100%]

[root@localhost root]#

up2date worked well too. I think I could like this distro.

I got an email from Red Hat explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new status of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email:

"Get Enterprise Linux in three ways:

--> Enterprise Linux WS: for desktop/client systems.
Starting at $179
--> Enterprise Linux ES: for small/mid-range servers.
Starting at $349
--> Enterprise Linux AS: for high-end and mission-critical systems.
Starting at $1499

>>compare all three:

http://info.redhat.com/a/tA-s$LDAJPSNNAOmLYvAK7ybs-q/utbn2"

Wow, those prices are amazing! I'll be interested to see who adopts this product.