niedziela, 20 grudnia 2020

YubiKey 5 NFC jako 2FA (two factor authentication) dla systemów Synology SRM / DSM

Jednym z lepszych gwarantów bezpieczeństwa naszych urządzeń ogólnie, czy też w szczególności znajdujących się na nich informacji, jest dwuskładnikowe uwierzytelnianie (2FA - Two factor authentication).

Chodzi w nim o to, że przy próbie zalogowania do jakiegoś zasobu (np. do interfejsu zarządzania routerem) po podaniu loginu i hasła, użytkownik proszony jest także o wprowadzenie kodu wygenerowanego przez zewnętrzną aplikację jak np. Google Authenticator, bądź Yubico Authenticator

Prośba o podanie kodu uwierzytelniania dwuskładnikowego przy próbie zalogowania do routera Synology RT2600AC
Prośba o podanie kodu uwierzytelniania dwuskładnikowego przy próbie zalogowania do routera Synology RT2600AC

czwartek, 17 grudnia 2020

PowerShell: Poszukiwanie pliku według zadanej sumy kontrolnej

Mawia się, że potrzeba matką wynalazków, tak więc potrzebą moją było znalezienie na dysku pewnego pliku o określonej sumie kontrolnej. Pewnie są do tego narzędzia, pewnie nawet za darmo, ale jakoś tak bardzo nie chciało mi się szukać po Internecie, że napisałem sobie jednolinijkowca w PowerShellu. 

Wygląda jak poniżej:

Get-Childitem -File -Recurse -LiteralPath "c:\Windows\System32" -Force -ErrorAction SilentlyContinue | ForEach {if ((get-filehash -path $_.FullName -Algorithm MD5 -ErrorAction SilentlyContinue).Hash -eq "5DA8C98136D98DFEC4716EDD79C7145F") {Write-Host "This file has searched control sum:" $_.FullName}}

Miejsca zaznaczone na czerwono można dopasować do własnych potrzeb, czyli: 

  • ścieżkę folderu do przeszukania (działa rekursywnie). Można też podać cały dysk, ale wtedy będzie odpowiednio dłużej. 
  • algorytm. W powyższym przykładzie jest to MD5, ale można wybrać jeden z poniższych: 
    • SHA1, 
    • SHA256, 
    • SHA384, 
    • SHA512,
  • suma kontrolna poszukiwanego pliku.
Ważne!
Powyższy kawałek kodu nie sprawdzi plików, które są otworzone, bądź zablokowane.
Tak więc, kto zgadnie jaki plik powinna zwrócić powyższa komenda? :)

piątek, 6 listopada 2020

Powershell: obcinanie numeru portu z adresu IP

Gdy otrzymacie plik zawierający adresy IP z portami, które chcecie usunąć (np. 123.123.123.123:80), wystarczy użyć do tego poniższej komendy powershella:

Get-Content plik_zrodlowy.txt | ForEach-Object {$_ -replace ":\d+$","" } | out-file plik_wyjsciowy.txt

Wynikiem będzie plik wyjściowy zawierający wyłącznie adresy IP, już bez numerów portów. 

wtorek, 1 września 2020

Powershell: lista zainstalowanych dysków / pendrajwów

W celu wylistowania zainstalowanych dysków twardych oraz pendrajwów można użyć poniższej komendy Powershella:

Get-CimInstance -class Win32_DiskDrive -property * | select-object InterfaceType, Model, @{Name="Pojemnosc"; Expression={$_.Size / 1024MB}}, SerialNumber

Wynik powinien prezentować się jak poniżej:

Lista dysków / pendrajwów wylistowana przy pomocy Powershella

Polecam uwadze pewną ciekawostkę. Można by sądzić, że na powyższej liście dyski twarde od pendrajwów można odróżnić po użytym interfejsie. W końcu widać tam 2 urządzenia z interfejsem USB, więc są to zapewne pendrajwy. Pozostałe zaś, to pewnie dyski twarde. 

Tak nie jest. Pendrajwem jest także urządzenie Corsair Voyager GTX, które ma przypisany interfejs SCSI. Jest to pendrajw o pojemności aż pół terabajta (z jego testem możecie zapoznać się tutaj).

Piszę o tym ponieważ gdyby ktoś miał potrzebę wyfiltrowania powyższych wyników w celu wyświetlenia np. wyłącznie pendrajwów, to filtrowanie z użyciem interfejsu nie będzie tutaj najlepszym rozwiązaniem. 

piątek, 21 sierpnia 2020

Pendrajw Corsair Voyager GTX USB 3.1 512GB - szybki jak SSD


Corsair Voyager GTX 512 GB - zdjęcie producenta
Corsair Voyager GTX 512 GB - zdjęcie producenta

W moje ręce trafił dzisiaj pendrajw Corsair Voyager GTX 512 GB, więc opiszę go w kilku słowach. Może komuś się przyda, bo nie jest to tania zabawka. 

Przejdźmy więc do rzeczy. 

niedziela, 14 czerwca 2020

Kopiowanie plików ze zdalnej maszyny Windows przy użyciu PowerShella

Czasami zachodzi potrzeba skopiowania plików ze zdalnej maszyny z systemem Windows przy użyciu innego rodzaju połączenia niż SMB, tudzież schowek Pulpitu Zdalnego. 

Wtedy można skorzystać np. z PowerShella. 

A jak się to odbywa?

Tak więc, kopiowanie odbywa się w dwóch etapach:
  1. Utworzenie sesji do zdalnej maszyny, czyli utworzenie połączenia, które potem zostanie wykorzystane. Samo utworzenie sesji niczym nie skutkuje, poza tym, że możemy skorzystać z tak utworzonej sesji w innych poleceniach.
  2. Właściwe kopiowanie plików z wykorzystaniem sesji utworzonej w pkt 1.
Tak to wygląda w teorii, a poniżej praktyka z komendami i komentarzami.

czwartek, 4 czerwca 2020

Get-UserLoggedOnRemoteComputer: czyli skrypt pokazujący użytkowników zalogowanych na zdalnych maszynach Windows

Potrzeba matką wynalazków - jak to się mawia. 

A skoro tak, to powstał skrypt, który pokazuje użytkowników zalogowanych na zdalnych maszynach Windows. 

Jego celem jest zorientowanie się, czy na zdalnych serwerach nie pozostała niewylogowana sesja pulpitu zdalnego, bez konieczności ponownego logowania się do każdego z nich. 

Ot na zasadzie, odpalam skrypt i już wiem gdzie mi wisi sesja. Wygląda to mniej więcej tak jak na poniższym screenie.

Screen z wynikiem działania skryptu Get-UserLoggedOnRemoteComputer
Wynik działania skryptu (wrażliwe dane zostały zamazane)

sobota, 9 maja 2020

Lumintop B01, czyli latarka na rower i nie tylko

Lumintop B01
Narodziny gwiazdy - wizja artystyczna ;)


Niedługo minie 2 lata od kiedy na łamach niniejszego bloga ukazała się recenzja latarki rowerowej Lumintop C01 (link: Lumintop C01 recenzja lampki rowerowej z reflektorem StVZO, ładowaniem USB i diodą Cree XP-G3 R5).
Przyznam, że lampeczka całkiem przypadła mi do gustu i zastąpiła dotychczasową, którą była Fenix BT10 (głównie z uwagi na inny rodzaj zasilania oraz typ użytego reflektora). 

W zeszłym roku Lumintop wypuścił nowszy model, oznaczając go jako B01

sobota, 28 marca 2020

PowerShell: Generowanie sum kontrolnych MD5 z plików znajdujących się w napędzie optycznym (i nie tylko)

Na podstawie Rozporządzenia Ministra Sprawiedliwości z dnia 11.01.2017r. w sprawie utrwalania obrazu lub dźwięku dla celów procesowych w postępowaniu karnym, dokonując tworzenia / kopiowania nośników w sądach, powinniśmy tworzyć razem z nimi odpowiednie Metryki Identyfikacyjne Nośnika w skład której, w pkt. 7, należy podać:

  • Nazwa i wersja oprogramowania użytego do wygenerowania sum kontrolnych
  • Użyty algorytm (jeżeli oprogramowanie używa więcej niż jednego algorytmu)
  • Sumy kontrolne
Jest do tego celu wiele programów, jak np. darmowy HashMyFiles.

Większość z nich wymaga jakiejś podstawowej obsługi, natomiast moim celem (poza ćwiczeniem PowerShella), było przygotować narzędzie bezobsługowe. 

Taki też jest skrypt, który do tego celu przygotowałem, noszący nazwę Get-ControlSumFromOpticalDrive i którego najnowszą wersję można pobrać z GitHuba.

Skrypt Get-ControlSumFromOpticalDrive otworzony w edytorze Visual Studio Code
Skrypt Get-ControlSumFromOpticalDrive otworzony w edytorze Visual Studio Code (prawda, że piękny? ;)
Wystarczy go uruchomić, a on odszuka napęd optyczny w systemie, przeskanuje go rekursywnie pod kątem plików i przygotuje listę sum kontrolnych. 

poniedziałek, 24 lutego 2020

Logowanie nazwy komputera i użytkownika łączącego się przez Pulpit Zdalny

Jeżeli zarządzacie serwerem / komputerem, do którego użytkownicy łączą się przed Pulpit Zdalny (RDP) to być może chcielibyście wiedzieć kiedy, z jakiego komputera i kto się logował?

Może słabo szukałem, albo brakło mi cierpliwości, w każdym razie nie udało mi się tego w łatwy sposób odnaleźć w narzędziach logów systemowych.

czwartek, 20 lutego 2020

DHCP Snooping, czyli ujarzmianie serwerów DHCP

Trochę "tego i owego" tytułem wstępu :)

DHCP Snooping to termin pod którym kryje się kilka technik mających zabezpieczać komunikację z serwerami DHCP.

Dzisiaj wyjaśnię jedną z nich, która pozwoli uchronić sieć lokalną przed omyłkowym, czy też celowym wpięciem do niej innego serwera DHCP.

Takie przypadkowe wpięcie obcego serwera DHCP jest dość łatwym zadaniem do wykrycia, ponieważ klienci otrzymują na ogół inną adresację i cała sieć zaczyna się "sypać".

Gorzej sytuacja wygląda, kiedy mamy do czynienia nie z przypadkowym, ale celowym wykorzystaniem obcego serwera DHCP. To już można nazwać atakiem.

Jak może on wyglądać?