воскресенье, 23 декабря 2012 г.
Немного о прямом доступе к диску.
Существует такая замечательная возможность, как прямой доступ к жесткому диску компьютера, в обход BIOS материнской платы. Данную возможность предоставляют множество программ (программы разбиения дисков, низкоуровнего форматирования, криптоваяния, безопасного затирания информации и многие другие). Не все имеют представление, зачем может понадобиться такая возможность.
Приведу лишь один пример использования данной технологии.
Не так давно столкнулся в одной организации с тем, что BIOS моего компьютера оказался нестандартным, такого BIOS с такой хэш суммой не было даже на сайте производителя. Посмотрев описания компонентов компьютера нашел материнскую плату с такими же компонентами и скачал соответствующий BIOS. Затем попытался перепрошить полностью (заменить) BIOS своей материнской платы. Прошивка прошла успешно, компьютер перезагрузил. Все работало. Но мне давала покой одна небольшая проблемка, в BIOS оказались неперезаписываемы некоторые блоки (таблицы) Flash-памяти. Если посмотреть на описания на данный тип BIOS (можно найти в интернет), то окажется, что часть данных блоков (таблиц) отвечали за работу контроллера HDD материнскрой платы. После довольно длительных раздумий я решил сравнить информацию BIOS о HDD контроллера материнской платы и информацию о HDD при прямом доступе к HDD. HDD был по информации BIOS на 80 Gb. Для получения доступа к жесткому диску компьютера я воспользовался последовательно программами низкоуровневого форматирования, затирания информации по ГОСТу и программой разбиения диска на разделы.
Результат меня удивил. Оказалось, что жесткий диск на моем компьютере не на 80 Gb, как информировал BIOS, а на 160 Gb.
Решил проверить свои умозаключения по данному поводу в беседе со специалистами в данной области.
Немного пообщавшись в интернет, я выяснил, что имеется возможность для дублирования информации между видимой частью, которую выдавал BIOS, и другой частью, которая была доступная только при прямом доступе к диску.
Вот такая история. Поэтому следует обращать внимание не только на программную защиту, но и проверять программно-аппаратные компоненты вашего компьютера.
Надеюсь, что мой опыт окажется кому-то полезным. Удачи!
Немного о прямом доступе к диску.
Настройка HASP сервера на несколько подсетей с одним сетевым адаптером.
Добрый день, хочу поделиться опытом по настройке HASP-сервера на одном сетевом адаптере, привязанном к нескольким IP.
Описание настроек HASP-сервера
В настройках сети удаляем службу доступа к файлам и принтерам для сетей Microsoft, затем отключаем службу сервера (если у нас нет общих ресурсов и станция для HASP сервера у нас выделенная), тем самым обходим ограничения на подлючение к ресурсам IPC и Server (было по 10), что применительно к не серверным продуктам операционных систем от корпорации Microsoft.
Далее прописываем необходимые IP-адреса для сетевого адаптера, например, 172.16.88.48 по маске 255.255.255.0 и 172.16.2.248 по маске 255.255.240.0, адреса шлюза и DNS-серверов, WINS-серверов оставляем не заполненными (лишние проблемы со зловредами /материальными и нематериальными/ нам ни к чему). Отключаем NetBios over TCP/IP. Отключаем службу Net-BIOS
Присваиваем компьютеру имя одинаковое (не обязательно) с HASP-ключом, имя группы, в которую входит данный компьютер, обозначаем одноименно с ведущим доменом, например, ORG (рекомендую HASP-сервер не включать ни в один из доменов).
Для установки HASP-сервера необходимо установить HASP_LM_setup.zip версии не ниже 5 для USB ключа и версии не ниже 4 для LPT ключа.
При установке драйвера ключа выбираем инсталляцию в качестве сервиса.
После установки необходимо скопировать из каталога, куда установились доплнительные программы HASP-сервера, файл nhsrv.ini в системный каталог
%systemroot%\system32 , после чего данный файл необходимо отредактировать, например:
[NHS_SERVER]
NHS_USERLIST = 250
NHS_SERVERNAMES = key1-1 ;-имя сервера
NHS_HIGHPRIORITY = yes ;-использовать высокий приоритет для HASP-сервера
[NHS_IP]
NHS_USE_UDP = enabled ;-разрешить UDP ***
NHS_USE_TCP = enabled ;-разрешить TCP ***
NHS_IP_portnum = 475 ;-используемый порт, как ни старался, получить рабочую конфу с другим портом не выходит. Может кто поделится опытом?
;NHS_IP_LIMIT = 10.24.2.18-99, 10.1.1.9/16, 10.25.0.0/24, ;-указываем диапазоны IP-адресов, с которых разрешен доступ
[NHS_IPX]
NHS_USE_IPX = disabled ; запрещаем IPX, остальное так же закомментируем
;NHS_addrpath = c:\temp ; pathname for haspaddr.dat (default: current dir)
;NHS_AppendAddr = no ; append to haspaddr.dat (default: replace)
;NHS_usesap = enabled ; enabled or disabled (default: enabled)
;NHS_ipx_socketnum = 0×7483 ; IPX socket number (default: 0×7483)
[NHS_NETBIOS]
NHS_USE_NETBIOS = disabled ; запрещаем использование NetBIOS, остальное также закомметируем
;NHS_NBNAME = tf88 ; use another than predefined NetBios name
; CAUTION: clients must use the same name !
;NHS_use_lana_nums = 3,0,7,2 ; default = all (automatic) – Номера используемых областей NetBIOS
Для вступления данных настроек в силу необходимо перезапустить в менеджере служб службу «HASP Loader».
В виду того, что у сервера HASP имеется нестабильность в работе, предположительно не корректно собирается мусор в памяти, что особенно характерно для LPT ключа, за USB ключом такое пока не наблюдалось; необходимо добавить в планировщик заданий запуск задания по расписанию, через каждые 10-15, на перезапуск службы «HASP Loader» (данный интервал может быть уменьшен). Данное задание исполняем в виде коммандного файла для Windows NT и добавляем его в планировщик.
Содержание коммандного файла на перезапуск данной слжбы:
net stop «HASP Loader»
net start «HASP Loader»
На компьютере HASP-сервера отключаем лишние службы, например, средства удаленного редактирования реестра и Telnet. Отключаем все порты на вкладке IP фильрации сетевого адаптера, разрешаем там же только подключения на порт 475 по протоколу TCP! Так мы обезопасим себя от зловредов (виртуальных и материальных ).
Внимание для пользователей антивируса Касперского!
За данным антивирусом замечено не совсем однозначное поведение в отношении HASP-сервера, поэтому рекомендую его отключить. Это будет вполне безопасно, т. к. у нас работает (открыт) только один порт, который слушает только TCP. Замечу, что еще не встречал сетевых вирусов, эксплуатирующих какую-либо уязвимость на данном порту и данного сервиса (HASP LM).
*** – Включение протоколов TCP и UDP в настройках HASP сервера нам необходимо для того, чтобы клиент HASP сервера мог соединяться с ним по протоколу TCP, Странно на первый взгляд, не так ли? Но практика показывает, что только при включении обоих опций клиенты смогут работать по протоколу TCP. Такой вот баг HASP сервера. А лишний трафик по протоколу UDP нам в сети ни к чему (не забываем отключать входящие подключения, как описано выше, на вкладке фильтрации сетевого адаптера).
В ближайшее время обещаю поделиться твиком об увеличении количества подключаемых клиентов к HASP серверу, без нарушения лицензионного соглашения.
Данная статья уже размещена мною на сайте alladin`a: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=63 и данную статью трудно найти, поэтому я решил опубликовать её ещё раз. Кроме того, после смены движка форума на Aladdin.ru, я почему-то не могу зайти на форум под своим именем и паролем.
Настройка HASP сервера на несколько подсетей с одним сетевым адаптером.
Тонкая настройка клиентов менеджера лицензий HASP.
Ниже приводится листинг файла nethasp.ini для клиентов HASP-сервера:
; Данный листинг с пояснениями создан для помощи в администрировании начинающим специалистам.
; Данный файл выкладывается в каталог %systemroot%\system32, если на компьютере есть только одна программа,
; работающая с HASP-серверами. Если программ несколько, например, 1С, Компас 3D, T-Flex, T-Doc`s, то выкладываем данные файлы
; в каталог из которого данные программы запускаются….
; Прошу обратить особое внимание на параметры NH_SESSION и NH_SEND_RCV, т.к. данные параметры позволяют нам
; не только обезопасить пользователей и себя от кратковременных сбоев в сети, но несколько smile;-) увеличить число рабочих
; станций работающих с сервером лицензирования без нарушения условий лицензирования, при соответсвующей модификации штатными средствами операционной системы того или иного сетевого стека, но об этом позже…
; Хочу сказать, что для больших контор это будет довольно хорошая экономия денег….
; Еще раз обращаю внимание на мой топик по поводу настройки nhsrv.ini «HASP-сервер с одним сетевым адаптером на несколько IP (подсетей) «,
; в котором есть такие строки NHS_USE_UDP = enabled ;-разрешить UDP и NHS_USE_TCP = enabled ;-разрешить TCP
; именно оба протокола необходимо разрешить на HASP-сервере и не беда, что в мониторе HAPS-ключа будет отображаться UDP метод,
; на самом деле будет работать по TCP… Спросите почему? Думаю, что такой вопрос нужно задать экспертам…
; Кроме того, если порулить групповыми политиками в домене и шаблонами безопасности на HASP-сервере, то можно добиться значительно
; большего количества клиентов без нарушения лицензирования ПО, процентов на 25%, как минимум….
[NH_COMMON]
NH_IPX = Disabled ; <— Здесь запрещаем использовать протокол IPX
NH_NETBIOS = Disabled ; <— Здесь запрещаем использовать протокол NetBIOS, лишний трафик нам ни к чему
NH_TCPIP = Enabled ; <— Здесь разрешает использовать протокол TCP/IP
NH_SESSION = 15 ; <— Продолжительность сессии с HASP-сервером в секундах
NH_SEND_RCV = 30 ; <— Продолжительность попыток, в секундах, поиска HASP сервера в сети
[NH_NETBIOS] ; NetBIOS отключен, да и не к чему он собственно.
;NH_NBNAME = 11tf1
;NH_SESSION = 30
;NH_SEND_RCV = 10
[NH_TCPIP]
NH_SERVER_ADDR = 172.16.88.48, 172.16.2.248 ; <— Адреса HASP-серверов
;NH_SERVER_NAME = 11tf1
NH_TCPIP_METHOD = TCP ; Протокол используемый клиентом для работы с HASP-сервером
NH_USE_BROADCAST = Disabled ; <— Запрещаем использование широковещательного запроса, т. к. лишний трафик нам в сети ни к чему
NH_SESSION = 15
NH_SEND_RCV = 30
; Отключение броадкастов и жестская привязка на IP адрес дает и еще очень важный момент, если в сети используется несколько HASP-серверов….
; В данном случае наш клиент уже не будет подключаться к первому попавшемуся менеджеру лицензий, а обязательно найдет «свой» сервер…
;Знания и труд – горы перетрут…..
; Буду рад, если мои советы помогут вам в решении ваших проблем…
; Копилка знаний должна копиться… Удачи всем…
; Это перепост моей статьи с сайта aladdin.ru, сейчас данный пост можно найти по адресу: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=284
Тонкая настройка клиентов менеджера лицензий HASP.
Алгоритмы защиты ARP
Algorithm 1 update arp cache 1: if DHCP packet is received then 2: if message type is DHCPACK then 3: IP ← ‘your IP address’ field value 4: if IP != server’s IP then 5: MAC ← ‘client’s hardware address’ field value 6: Add (IP, MAC) to server’s ARP cache 7: Add (IP, MAC) to backup file 8: end if 9: else if message type is DHCPRELEASE then 10: IP ← ‘your IP address’ field value 11: if IP != server’s IP then 12: Remove (IP, ?) from server’s ARP cache 13: Remove (IP, ?) from backup file 14: end if 15: else if message type is DHCPDECLINE then 16: IP ← ‘requested IP address’ options field value 17: if IP != server’s IP then 18: Remove (IP, ?) from server’s ARP cache 19: Remove (IP, ?) from backup file 20: end if 21: else 22: NOOP 23: end if—————————————————————–
24:end if
Algorithm 2 send arp reply 1: if ARP message is received then 2: if operation field = REQUEST then 3: TPA ← Target Protocol Address field value 4: Create an ARP REPLY message 5: Sender Protocol Address field ← TPA 6: if TPA = server’s IP address then 7: SHA ← server’s MAC address 8: else 9: Find (TPA, MAC) mapping in ARP cache 10: if (TPA, MAC) does not exist then 11: return //No response is sent 12: end if 13: SHA ← MAC address in (TPA, MAC) 14: end if 15: Sender Hardware Address field ← SHA 16: Send ARP response to requesting host 17: end if 18:end if
Дальнейшее – за гуру скриптинга. Скрипткидди, проходьте мимо!
Алгоритмы защиты ARP
Коды ошибок VPN соединения
Ошибки при работе через VPN-соединение:
Если при запуске VPN-соединения возникла ошибка, то Вам необходимо запомнить ее трехзначный код. Как правило, ошибки имеют код 6ХХ (ошибки, связанные с некорректным вводом пароля, имени или выбора типа протокола связи и говорят о том, что сеть работает, но необходимо проверить вводимые данные), 7ХХ (ошибки, связанные с некорректными настройками соединения и говорят о том, что сеть работает, но необходимо проверить настройки) или 8ХХ (ошибки, связанные с проблемами в настройке сети или отсутствием подключения к сети).
Ниже приведены расшифровки некоторых кодов:
Ошибка 400 (Bad Request)
Означает, что сервер обнаружил в запросе клиента синтаксическую ошибку.
Совет:
1. Отключить межсетевой экран (брандмауэр) или программы, влияющие на сетевую активность и безопасность.
2. Попробовать обновить текущий браузер или использовать другой.
3. Поставить настройки браузера по-умолчанию и обнулить все сохраненные файлы, сертификаты и прочее, т.е. удалить все что пишет браузер на диск.
Ошибка: 600, 601, 603, 606, 607, 610, 613, 614, 616, 618, 632, 635, 637, 638, 645
Совет:
Перезагрузите компьютер. Если ошибка не исчезает, попробуйте переустановить VPN-соединение. Проверьте Ваш компьютер на предмет наличия вирусов. Удалите недавно установленные программы, либо отмените недавние изменения в настройках Windows, если такие были.
Ошибка: 604, 605, 608, 609, 615, 620
Файл телефонной книги подсистемы удаленного доступа Windows и текущая конфигурация Удаленного Доступа к Сети несовместимы друг с другом
Совет:
Перезагрузите компьютер. Если ошибка не исчезает, то удалите и заново создайте VPN соединение.
Ошибка: 611, 612
Внутренняя конфигурация сети Windows некорректно настроена
Совет:
Перезагрузите компьютер и убедитесь, что локальная сеть нормально функционирует на Вашем компьютере. Если ошибка не исчезает, то обращайтесь в службу тех. поддержки. Кроме того, ошибка может быть вызвана нехваткой ресурсов (памяти) на Вашем компьютере. Попробуйте закрыть запущенные программы.
Ошибка 617
Windows находится в процессе подключения к Интернету, либо произошла внутренняя ошибка Windows
Совет:
Подождите несколько минут. Если подключение не установилось, и при повторном подключении ошибка повторяется, то перезагрузите компьютер.
Ошибка 619
Неправильно настроены параметры безопасности VPN соединения, VPN-трафик блокируется на пути к шлюзу, либо настройки VPN не вступили в действие
Совет:
В свойствах VPN соединения откройте вкладку ”Безопасность” – должно быть выбрано ”Обычные (рекомендуемые параметры)” и должна быть снята галочка ”Требуется шифрование данных (иначе отключаться)”. Перезагрузите компьютер и попробуйте подключиться еще раз. Проверьте настройки Вашего брандмауэра (должен быть открыт порт для передачи данных vpn-соединения через порт 1723 TCP с использованием протокола GRE(47)), и, если не уверены в их правильности, отключите его.
Ошибка 624
проблема при подключении к VPN
Совет:
1. Отсутствует файл RASPHONE.PBK в {папка с Windows}/system32/RAS или … Documents and Settings/{ваш юзер или все юзеры}/Application Data/Microsoft/Network/Connections/Pbk, а если даже и есть, то необходимо переименовать его во что-то другое, например RASPHONE.OLD, еще можно запустить rasphone.exe, может помочь.
2. Стоит запрет на создание подключения. – Разрешить пользователям создавать новые подключения. Пуск – Выполнить – gpedit.msc и там разбираться.
3. Запрещён доступ к папке Documents and Settings/All Users/Application Data/Microsoft/Network/Connections/Pbk – Открыть доступ к папке. Но скорее всего проблему удастся решить таким образом: снять галку с пункта ”Только для чтения” в свойствах файла Rasphone.pbk.
Ошибка 629
Соединение не может быть установлено (блокировано подключение по протоколу TCP к VPN-серверу).
Совет:
Проверьте настройки Вашего брандмауэра, и, если не уверены в их правильности, отключите его.
Ошибка 630
Модем (или другое устройство подключения) был отключен из-за ошибки оборудования.
Совет:
Переустановить драйвера Вашего сетевого адаптера
Ошибка 635
Неизвестная ошибка.
VPN-клиент на Вашем компьютере имеет ошибки либо установлен неправильно.
Совет:
Как правило, такая проблема может возникнуть на ОС Windows 95/98/ХР/NT. Для решения требуется переустановить VPN-клиент или систему Windows.
Ошибка 650
Сервер удаленного доступа не отвечает
Совет:
Недоступен сервер-VPN. Проверьте, включено ли ”Подключение по локальной сети”, исправна ли сетевая карта, исправен ли сетевой кабель, не выставлен ли в настройках VPN-соединения какой-то определённый IP-адрес.
Ошибка 678
Не удалось установить подключение, поскольку удаленный компьютер не ответил на запрос подключения.
Совет:
1. Проверьте правильность IP-адреса VPN-сервера и повторите попытку подключения. Чтобы просмотреть свойства подключения, щелкните нужное подключение правой кнопкой мыши, выберите команду Свойства, а затем просмотрите сведения на вкладке Общие.
2. Попытки подключения могут блокироваться сетевым устройством, таким как брандмауэр, или в результате перегрузки сети.
Ошибка 691
Доступ запрещен, поскольку такое имя пользователя и пароль недопустимы в этом домене
Совет:
1. Нет денег (войдите на сервер статистики и проверьте наличие средств на счете)
2. Неправильный логин или пароль (Обратите внимание на регистр вводимых букв и состояние переключателя языка клавиатуры RU/EN)
3. Неправильно указан в настройках сервер VPN (лимитный 80.252.128.110 или анлим 10.255.255.32)
4. Стоит административная блокировка в системе статистики.
5. Убедитесь, что в свойствах VPN подключения (VPN-Свойства->Параметры->Параметры набора номера) не отмечен галочкой параметр ”Включать домен входа в Windows”
6. Возможно, вы подключились к сети Интернет, но соединение было некорректно разорвано – необходимо подождать 2-4 минуты перед повторным подключением к VPN-серверу
Ошибка 720
Не удалось подключиться с помощью этого элемента телефонной книги.
Совет:
В свойствах VPN-соединения, в закладке ”Сеть” проверьте наличие копонента ”Протокол интернета (ТСР/IP)” и отметьте его галочкой.
Ошибка 734
Работа протокола управления каналом PPP была прервана.
Совет:
В свойствах VPN-соединения во вкладке ”Безопасность” убрать галочку ”Требуется шифрование данных”
Ошибка 735
Запрошенный адрес был отвергнут сервером
Совет:
Вы неправильно настроили VPN-соединение для доступа в сеть Интернет. Скорее всего, в настройках TCP/IP соединения VPN вы прописали какой-то IP-адрес, а он должен выделятся автоматически
Ошибка 738
Серверу не удается выдать IP адрес. Соединение с таким логином и паролем уже установлено. Обратиться к Администратору.
Совет:
1. Возможно, злоумышленники украли логин и пароль.
2. ”Подвисла” VPN сессия. Необходимо подождать 10-15 минут и повторить подключение
Ошибка 741 – 743
Неверно настроены параметры шифрования
Совет:
Зайдите в настройки VPN соединения, и во вкладке ”Безопасность” снимите галочку ”шифрование данных”
Ошибка 752
Не удалось установить подключение к серверу.
Совет:
1. неверно настроенный локальный файрвол.
2. некто изменил атрибуты доступа (вместо VPN – международный телефонный номер)
Ошибка 781
Попытка кодирования не удалась, потому что не было найдено ни одного действительного сертификата.
Причины возникновения: VPN клиент пытается использовать L2TP/IPSec протокол для подключения.
Совет:
Войдите в настройки подключения VPN-Свойства->Сеть->Тип VPN и выберите PPTP VPN
Ошибка 789
Выбран неверный тип VPN соединения
Совет:
Зайдите в настройки VPN соединения и на вкладке ”Сеть” из списка ”Тип VPN” выберите ”Автоматически” или ”PPTP VPN”. Попробуйте повторно подключиться
Ошибка 800
Не удалось создать VPN-подключение. Сервер недоступен или параметры безопасности для данного подключения настроены неверно
Возможные причины:
1. Фаерволл блокирует исходящие запросы на VPN соединения
2. Отсутствует подключение к локальной сети.
3. некто изменил атрибуты доступа (вместо vpn – международный телефонный номер).
4. Запрос по какой-либо причине не доходит до сервера, т.е. возможно шлюз вашего сегмента не пропускает запрос в силу возникшей нагрузки или сбоя.
5. разрушение стека
Совет:
1. В фаерволе необходимо открыть TCP порт 1723 и IP протокол 47 (GRE), или, если того требуют настройки фаервола, прописать IP адрес Вашего VPN-сервера (IP указан в информации для клиента)..
2. Проверить есть ли физическая связь (горят ли лампочки сетевой карты на задней панели Вашего компьютера), включен ли сетевой кабель в разъем на сетевой карте и в розетке (при ее наличии). Затем проверить, включено ли соединение по локальной сети. Для этого нажмите кнопку ”Пуск”, затем ”Панель управления”, затем ”Cетевые подключения”. В появившемся окне найдите ”Подключение по локальной сети” и включите его, если оно было выключено. Проверить настройки протокола TCP/IP – Нажмите кнопку ”Пуск”->”Выполнить”. В строке введите команду ”cmd”, в открывшемся DOS окне введите команду ”ipconfig” – должно выдать Ваш IP адрес, маску подсети и основной шлюз, если данной информации нет означает что локальная сеть выключена или нет физического соединения.
3. Убедитесь, что в настройках VPN подключения (VPN-Свойства->Общие->Имя компьютера или IP-адрес назначения) верно указан адрес VPN-сервера.
4. Проверить прохождение сигнала командой ping до Вашего шлюза, а затем до вашего сервера VPN.
Нажмите кнопку ”Пуск”->”Выполнить”. В строке введите команду ”cmd”, в открывшемся DOS окне введите команду:
ping [ххх.ххх.ххх.254]
ping 80.252.128.110 (10.255.255.32)
где в данном случае 80.252.128.110 – сервер VPN, а ххх.ххх.ххх.254 – адрес шлюза. Свой сервер доступа и адрес шлюза Вы можете узнать в ”анкете абонента” или используя команду ”ipconfig” (смотри пункт 2).
Если в открывшемся DOS-окне Вы увидите что-то вроде ”Заданный узел недоступен” или ”Превышен интервал ожидания для запроса”, то возможно проблемы у Вас на компьютере, либо на линии. Если пойдет ответ от узла с указанной скоростью (обычно это происходит быстро), то скорее всего проблема в Вашем компютере. В любом случае проверьте второй пункт (2).
5. Разрушение стека – описание некого общего сбоя при взаимодействии сетевых компонентов составляющих TCP/IP стек. Причинами для возникновения может быть повреждение файлов ОС (дисковый сбой), вторжение вирусов и троянских программ, ошибки при реконфигурации (не дали дистрибутив, не удалили старый драйвер сетевой карты перед установкой новой). Исправляется восстановлением поврежденных файлов, удалением вирусов, и Переустановкой Windows. Установить и настроить заново сетевые компоненты и подключение к VPN в соответствии с инструкциями по настройке сети.
Коды ошибок VPN соединения
пятница, 21 декабря 2012 г.
Мониторинг сети по протоколу SNMP.
Довольно часто встречается ситуация, в которой системные администраторы, а иногда и сами руководители ИТ-служб не знают и не подозревают о существовании такого необходимомого инструмента в администрировании локальной сети, как протокол SNMP. SNMP – расшифровывается, как простой протокол управления сетью. Что может дать его использование при администрировании сети: получение информации о “здоровье” локальной сети, СКС, активного сетевого оборудования, а также.. и отдельных хостов (компьютеров). Существует множество графических оболочек, предназначенных для работы с данным протоколом, а я же хочу лишь обозначить путь, по которому необходимо следовать, поэтому выбор гуев оставляю за вами. Как правило такие графические оболочки уже имеют набор стандартных счетчиков для данного протокола, вам остается лишь настроить свое активное сетевое оборудование на разрешение использования протокола SNMP, описать имена используемых сообществ и настроить безопасность для данного протокола, если она поддерживается данным устройством, а также указать хост управления сетью, с которого разрешены подключения по протоколу SNMP. На хосте управления сетью с помощью гуя рекомендую также сделать импорт так называемых информационных баз (mib), которые предназначены конкретно для вашего устройства, это позволит осуществлять расширенный мониторинг, а не только по базовым показателям, доступными по-умолчанию в гуе.
Итак, какую информацию покажет вывод статистики по заданному управляемому сетевому устройству, собранной по протоколу SNMP (в общих чертах):
- объем и количество пакетов транзитного трафика по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
- объем и количество пакетов уникаст, аникаст и броадкаст по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
- изменение загрузки пропускной способности портов коммутатора в заданном временном интервале, с их максимальными и минимальными значениями;
- возможно температуру аппаратных компонентов;
- общее количество потерянных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
- общее количество ошибок переданых/полученных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
- текущее состояние портов коммутатора (включен/выключен), а также статистику стостояний портов коммутатора в заданном временном интервале;
- показывает количество и значения MAC-адресов и IP-адресов на данном порту коммутатора, как общую статистику, так и в заданном временном интервале (не у всех показываются пары MAC-IP, зачастую только MAC);
- и т. д.
В добавок ко всему этому имеется возможность отобразить визульно всю локальную сеть в виде графа, будут отрисованы все коммутаторы, все компьютеры и другое актиное оборудование, подключенное к управляемым коммутаторам. А также имеется возможность отслеживания изменения сети в режиме реального времени (кто, во сколько подключился к сети, отключился от сети, к какому порту коммутатора было инициировано было данное подключение).
Такой богатый функционал и позволяет отслеживать здоровье в локальной сети с ипользованием протокола SNMP и управляемого сетевого оборудования. Как я сказал, клиентами хоста управления могут выступать и обыкновенные рабочие станции, если задействовать и настроить на них поддержку SNMP клиента.
Так, например, наличие большого числа потерянных пакетов на каком-то одном порту коммутатора будет однозначно говорить о проблемах в цепочке сетвевая карта-кабель-порт коммутатора. И будет являться основанием для проверки данной цепочки. Или же, большое количество броадкаст трафика на порту коммутатора может говорить о наличии сетевых проблем у компьютера, подключенного на данный порт (это может оказаться и вирусом). Наличие нескольких MAC-адресов на каком-либо порту коммутатора, при наличии только одного хоста, подключенного к данному порту может говорить о том, что данный сотрудлник занимеатся либо флудингом, либо пытается у кого-то отобрать целевой трафик, например, получить доступ к сети интернет, если прокся разграничивает доступ только по MAC-адресам, а у сотрудника по каким-либо причинам имеются административные права на его компьютер.
Рекомендую под управление активным сетевым оборудованием выделить отдельную VLAN, чтобы никто не смог осуществить атаку на протокол SNMP. И отдельную рабочую станцию. Я бы назвал это обязательным условием.
Хотя некоторые админы и страшаться таких слов, как VLAN, Bridge, Trunk. Не стоит бояться, уверен, что вам это доставит удовольствие и вы найдете этому достойное применение в организации сети и в своей повседневной работе.
Хочу пожелать вам успехов в использовании данного очень полезного протокола, позволяющего оперативно реагировать на проблемы с локальной сетью и СКС. Удачи!
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%bc%d0%be%d0%bd%d0%b8%d1%82%d0%be%d1%80%d0%b8%d0%bd%d0%b3-%d1%81%d0%b5%d1%82%d0%b8-%d0%bf%d0%be-%d0%bf%d1%80%d0%be%d1%82%d0%be%d0%ba%d0%be%d0%bb%d1%83-snmp/
Модернизация локальной сети.
Довольно часто возникает необходимость в модернизации локальной сети предприятия. Но к ней необходимы объективные предпосылки, тем более если в локальной сети насчитывается несколько сот рабочих станций Т. е. необходимо предварительное исследование сети, выявление узких мест, а также необходим мониторинг производительности серверов баз данных, контроллеров домена, samba серверов.
Лучше всего для получения статистики здоровья сети воспользоваться средствами, предоставляемыми самим активным оборудованием, которое, как правило, поддерживает SNMP, средствами которого и предлагаю воспользоваться. Некоторое активное оборудование умеет отображать собственную статистику в разрезе времени, при доступе к нему через веб-интерфейс, но лучше все же воспользоваться SNMP, т. к. активное сетевое оборудование могут отключить и статистика потеряется. А информации, полученная по протоколу SNMP станцией управления сетью сохранится. Лучше всего выбрать статистику за один месяц и изучить результаты. Сразу станет понятно какие места в сети являются узкими и для которых необходима последующая модернизация.
Стоит отметить, что ядро сети необходимо организовать из одного – двух (в стеке) высокопроизводительных коммутаторов, к которым лучше всего напрямую подключить сервера организации. Следует также учесть запас пропускной способности в выявленных узких и остальных узлах сети, который не должен быть меньше 40%. Такой запас необходим для возможного будущего роста локальной сети предприятия. При наличии силовых кабелей в местах прокладки кабеля стоит выбрать экранированную витую пару. Также стоит проверить заземление на всех ключевых узлах локальной сети, т. к. его отсутсвие может привести в будущем к неприятным последствиям.
Сервера должны быть подключены к ядру сети по высокроизводительным магистралям, например, по 1Gbit Ethernet и выше. Для серверов также возможно кратное увеличение пропускной способности магистралей, если имеется программное обеспечение производителя сетевых адаптеров по агрегированию каналов связи.
Но все это должно быть обосновано на основе данных собранной статистики, а также с учетом дальнейшего расширения отдельных сегментов сети (по возможности).
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%bc%d0%be%d0%b4%d0%b5%d1%80%d0%bd%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d1%8f-%d0%bb%d0%be%d0%ba%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d0%b9-%d1%81%d0%b5%d1%82%d0%b8/
Использование динамической адресации (DHCP/D/).
Использование динамической адресации в домене MS Windows и сетях Linux дает улучшение общей управляемостью в сети, т. к. отпадает необходимость в дополнительных издержках, например, при смене адресации. Но при этом следует учесть и требования безопасности, налагаемые на задействование DCHP адресации. А именно, крайне желательно иметь активное сетевое управляемое оборудование, которое позволяет автоматически переадресовывать DHCP запросы непосредственно на легальный сервер DHCP, это так называемая функция DHCP redirect у управляемых коммутаторов. Задействование данной функции позволит минимизировать негативные последствия в случае появления в сети ложного DHCP сервера. Кроме того, следует запретить получение данных для DHCP клиентов и сервера (-ов) от нелегитимных источников (IP адресов), для чего можно воспользоваться средствами фильтрации трафика IPSec/iptables по портам для клиентов DHCP и серверов DHCP. От пролучения пакетов, созданных генераторами пакетов это не защитит, при умелой генерации, но таких профессионалов среди народных умельцев, как правило, не наблюдается в локальных сетях. Но и от этой напасти есть весьма простой и действенный способ – всегда имеется возможность перезапустить службу DHCP. Еще больше усилит безопасность клиентов и серверов при динамической адресации использование возможностей изоляции доменов для сетей Windows и аналогичные возможности IpSec в сетях Linux. В этом случае извне никто не сможет нарушить сетевую безопасность, просто подключившись к локальной сети организации. А вычисление народных умельцев, которые хулиганят в рабочее время, станет лишь делом техники, а точнее умелого использования сочетания средств управления сетью и средств мониторинга сети.
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d0%b4%d0%b8%d0%bd%d0%b0%d0%bc%d0%b8%d1%87%d0%b5%d1%81%d0%ba%d0%be%d0%b9-%d0%b0%d0%b4%d1%80%d0%b5%d1%81%d0%b0%d1%86%d0%b8/
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d0%b4%d0%b8%d0%bd%d0%b0%d0%bc%d0%b8%d1%87%d0%b5%d1%81%d0%ba%d0%be%d0%b9-%d0%b0%d0%b4%d1%80%d0%b5%d1%81%d0%b0%d1%86%d0%b8/
Маркировка кабельной системы локальной сети.
Часто возникает необходимость в проведении маркировки кабельной системы предприятия, т. к. зачастую кабельные сети у нас до сих пор все еще не маркированы и администраторы даже не подозревают где и как проложена кабельная система, что несомненно наносит вред информационной безопасности предприятия и не позволяет оперативно решать те или иные повседневные задачи.
Я опишу наиболее действенный способ маркировки кабельной системы, который был мною реализован с помощью сотрудников ИТ-отдела. У каждого способа есть свои вариации, так что дерзайте!
Итак, вначале необходимо задействовать станцию управления сетью, использующую протокол SNMP для сбора информации с активного сетевого оборудования, о чем мною писалось несколько ранее. Задействование такой станции нам позволит визуально оценить текущую структуру нашей локальной сети и даст представление о том, какой компьютер к какому порту какого коммутатора подключен, а также оценить здоровье сети. Далее берем, чертим таблицы для каждого компутатора, в которых записываем к каким портам данного коммутатора подключен(-ны) тот (те) или иной(-ые) компьютер (-ы). Далее модифицируем коммутацию кабельной системы нужным нам, предварительно согласованным с руководством, образом. В том случае, если к какому-либо порту коммутатора подключен(-ы) еще неуправляемые коммутаторы и нет возможности оценить разводку кабельной системы с помощью тестера сети, рекомендую задействовать дополнительный управляемый коммутатор, который временно включается взамен неуправляемого и с него снимаем дополнительную информацию станцией управления.
Если нет возможности выяснить пути прокладки кабеля визульными методами, то имеется возможность выявить данный кабель по кабельной маркировке, а именно, по маркировке производителя (уникальна для каждой бухты кабеля), а также по маркерам метража кабеля. Отмечаем себе маркировку производителя и метраж кабеля, а дальше ище по кабельканалам нужный нам кабель и смотрим как он проложен.
И, конечно же, используем кабельные тестеры для контроля разводки. Для связи с помощниками во время проведения такой маркировки удобно использовать обыкновенные туристические рации.
Маркировку коммутаторов, портов коммутаторов и розеток лучше всего производить по заранее оговоренному числовому или буквенно-числовому коду. И не забываем записывать все производимые изменения в наши таблицы (что, куда и как перекоммутировали). После полной перекоммутации составляем чистовые таблицы (разводку) нашей кабельной системы. Затем с помощью станции управления сетью еще раз сверяем наши таблицы с реальной структурой сети, выдаваемой станцией управления.
Все! Теперь вы и сотрудники ИТ-отдела знаете, куда и как идет тот или иной кабель на вашем предприятии. А это дает возможность заняться непосредственно улучшением здоровья вашей локальной сети на основании статистики, собираемой станцией управления сетью. Например, на основании большого количества потерянных пакетов на том или ином порту коммутаора можно сделать вывод о том, что что-то не в порядке у цепочки адптер-кабель-порт. И не забываем использовать кабельные тестеры для проверки таких цепочек, желательно умеющие определять длину кабеля, т. к. большое количество потерянных пакетов может говорить и об излишне длинном кабеле. SNMP также предоставляет оценить приблизительную длину кабеля от порта коммутатора до адаптера, но для этого, зачастую, требуется подгрузка соответствующей mib для данного управляемого активного сетевого оборудования.
Удачи вам!
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%bc%d0%b0%d1%80%d0%ba%d0%b8%d1%80%d0%be%d0%b2%d0%ba%d0%b0-%d0%ba%d0%b0%d0%b1%d0%b5%d0%bb%d1%8c%d0%bd%d0%be%d0%b9-%d1%81%d0%b8%d1%81%d1%82%d0%b5%d0%bc%d1%8b-%d0%bb%d0%be%d0%ba%d0%b0%d0%bb%d1%8c/
Выявление ARP злодеев в локальной сети.
Довольно часто в локальных сетях предприятий появляются любители пошалить с дублированием ARP адресов. К чему это приводит? Приводит к недоступности части локальной подсети, организованной на свитчах (коммутаторах). Наиболее ощутимый вред наносит дублирование MAC адресов самих коммутаторов, оставляя отключеными от сети всех, кто подключен к скомпроментированному коммутатору. Т. е. возникает ситуация, когда, как иногда говорят, сеть “висит”.
Выявить такого вредителя не так уж и сложно, достаточно установить станцию управления сетью, которая будет нам собирать статистику по протоколу SNMP, причем саму станцию и коммутаторы, которые она мониторит логически выделяем в отдельную подсеть с использованием VLAN. Это необходимо для того, чтобы при любой ситуации (дублирование ARP-адресов) статистика с коммутаторов приходила на станцию управления. Анализируя такую статистику мы сможем найти злоумышленника (порт к кторому подключена машина с дубликатом MAC адреса) по информации об MAC адресах на портах нашего коммутатора.
Отдельного разговора залуживает ARP-спуфинг в локальных сетях, с которым бороться сложно, но отследить нарушителя все равно возможно. Для этого необходимо регулярно использовать анализатор сети, желательно на компьютере, подключенном к ядру сети (центральному коммутатору). При подозрении на ARP-спуфинг делаем фильтрацию по скомпроментированному MAC адресу и смотрим, с какого IP адреса пришел пакет и идем к нарушителю. Но только в том случае, если не использовался при этом специальный генератор пакетов, с помощью которого можно подменить адреса отправителя и получателя (тут, как говорится, уже без вариантов, концов можно и не найти).
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b2%d1%8b%d1%8f%d0%b2%d0%bb%d0%b5%d0%bd%d0%b8%d0%b5-arp-%d0%b7%d0%bb%d0%be%d0%b4%d0%b5%d0%b5%d0%b2-%d0%b2-%d0%bb%d0%be%d0%ba%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d0%b9-%d1%81%d0%b5%d1%82%d0%b8/
Организация защиты NetBIOS, SMB и выявление злодеев. ;-)
Портами, используемыми NetBIOS, SMB, являются:
138 – NetBIOS Datagram;
137 – NetBIOS Name Resolution;
139 – NetBIOS Session;
445 – SMB.
Данные порты используются также протоколом RPC и различными сетевыми сервисами. Поэтому слудет быть осторожными с блокированием данных портов.
Обращаем внимание на то, что любая сессия начинается с netbios-запроса, задания ip-адреса и определения tcp-порта удаленного объекта, далее следует обмен NETBIOS-сообщениями, после чего сессия закрывается. Сессия осуществляет обмен информацией между двумя netbios-приложениями. Длина сообщения лежит в пределах от 0 до 131071 байт. Допустимо одновременное осуществление нескольких сессий между двумя объектами.
При организации IP-транспорта через NETBIOS IP-дейтограмма вкладывается в NETBIOS-пакет. Информационный обмен происходит в этом случае без установления связи между объектами. Имена Netbios должны содержать в себе IP-адреса. Так часть NETBIOS-адреса может иметь вид, ip.**.**.**.**, где IP указывает на тип операции (IP через Netbios), а **.**.**.** – ip-адрес. Система netbios имеет собственную систему команд (call, listen, hang up, send, receive, session status, reset, cancel, adapter status, unlink, remote program load) и примитивов для работы с дейтограммами (send datagram, send broadcast datagram, receive datagram, receive broadcast datagram). Все оконечные узлы netbios делятся на три типа:
широковещательные (“b”) узлы;
узлы точка-точка (“p”);
узлы смешанного типа (“m”).
IP-адрес может ассоциироваться с одним из указанных типов. B-узлы устанавливают связь со своим партнером посредством широковещательных запросов. P- и M-узлы для этой цели используют netbios сервер имен (NBNS, WINS) и сервер распределения дейтограмм (NBDD, Browser).
Кроме того “обозревателей” сети (браузеров) в локальной сети может быть несколько. Применительно к домену MS Windows одним из обозревателей (браузеров) в локальной сети должен выступать один из контроллеров домена. Но главным обозревателем (мастер броузер) должен быть только один из хостов. Количество браузеров в сети зависит от размеров данной сети.
Итак, прочитав вышеизложенное, возможно сделать следующие умозаключения для защиты сервисов NetBIOS, SMB от злоумышленников:
1. Однозначно прописывать адреса WINS серверов на хостах сети;
2. Жестко прописывать адреса критически важных узллов сети в файлах hosts, lmhosts на хостах сети, чтобы не было искажения (или минимизация искажения) информации в результате спуфинга адресации;
3. Запретить в правилах фильтрации трафика получение пакетов на вышеуказанные порты от недоверенных адресов по протоколу UDP , разрешив при этом получение пакетов на данные порты только с WINS, SMB (SAMBA) серверов, а также задействовать защиту от ARP спуфинга (если эту опцию поддерживает фильтр пакетов);
4. Настроить периодический перезапуск службы NetBIOS с очисткой кеша, для предотвращения отравления кеша службы;
5. Для серверов служб имен можно посоветовать более частое безопасное обновление зон.
6. В правилах фильтрации сетевого фильтра (стороннего) необходимо также задействовать защиту от ARP спуфинга и IP спуфинга.
Это не защитит от наиболее изощеренных методов атак, но абсолютное большинство умельцев отучит от вредительских действий. Оставшаяся часть, продвинутых в данном направлении, пользователей будет уже нам знакома.
Вот такой небольшой план решения большой проблемы. Удачи вам, читатели, надеюсь данная статья поможет вам бороться со злодеями в локальных сетях.
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%be%d1%80%d0%b3%d0%b0%d0%bd%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d1%8f-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d1%8b-netbios-smb-%d0%b8-%d0%b2%d1%8b%d1%8f%d0%b2%d0%bb%d0%b5%d0%bd%d0%b8%d0%b5-%d0%b7%d0%bb%d0%be/
Мой ответ на статью журнала XAKEP “Китайские закладки: непридуманная история о виртуализации, безопасности и шпионах”
Предлагаю ддля начала ознакомиться со статьей журнала XAKEP, которая доступна по следующему адресу: http://www.xakep.ru/post/58104/
А теперь мой ответ на данную статью.
Спасибо автору статьи за столь пространное изложение материала. Надеюсь, что потраченное вами время того стоило. Мною имеется ввиду изобретение вами велосипеда.
Все описанное вами в статье относится к новой технологии корпорации Intel под названием Intel AMT. Впервые данная технология и технология удаленного управления аппаратными платформами Intel с обесточенными основными компонентами, но подключенной к сетевой розетке, как описывает автор, была задействована еще несколько лет назад, начиная с интеловской логики i965(x) и новее. Корпорация Intel настолько много внимания уделяла данной технологии внимания и форсировала разработку, что доступ к наиболее детальной технической документации был возможен только с территории США и только с подсетей части провайдеров США, даже сейчас будут различия между доступной документацией на сайте корпорации Intel из разных регионов планеты. Используйте штатовские прокси или VPN для просмотра сайта Intel.
Так вот, первоначально даная технология удаленного управления была реализована для портативных устройств – ноутбуков и нетбуков. И только затем начала встраиваться и в остальные аппаратные платформы корпорации Intel. Возможности данной технологии достаточно широки, более велики, нежели описанные автором данной статьи.
Так что “злые” китайцы здесь лишь косвенно причастны, была бы дырка, а крысы найдутся. И меня радует, что в России еще остались специалисты, не уехавшие за бугор ввиду наплевательского и распиздяйского отношения нашей власти к инженерному корпусу, которым стала интересна данная тематика. При тотальной безработице в стране до сих пор находятся “Кулибины”. Успехов вам. Могу еще вам посоветовать обратить внимание в ваших исследованиях на BIOS видеоадаптеров, проблематика и выводы будут схожими с вашими.
Так что ни какой пранойе автора не можит быть и речи. Автор сделал вполне правильные и обоснованные выводы. От себя могу добвать, что данные девыйсы раскупаются по всему миру в умопомрачительных количествах… В том числе и в России. Ну да вы сами все прекрасно занаете.
))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
Почитал комментарии к данной статье пользователей. Они весьма занятные. Как всегда много комментариев от авторов, не владеющих обсуждаемой темой.
https://nikitushkinandrey.wordpress.com/2012/01/06/%d0%bc%d0%be%d0%b9-%d0%be%d1%82%d0%b2%d0%b5%d1%82-%d0%bd%d0%b0-%d1%81%d1%82%d0%b0%d1%82%d1%8c%d1%8e-%d0%b6%d1%83%d1%80%d0%bd%d0%b0%d0%bb%d0%b0-xakep-%d0%ba%d0%b8%d1%82%d0%b0%d0%b9%d1%81%d0%ba/
Сброс настроек коммутаторов D-Link не имеющих кнопки Reset.
Сброс настроек, пароля для коммутаторов D-link, не имеющих кнопки Reset:
1. Необходимо сконфигурировать и подключиться к коммутатору D-link через интерфейс RS-232 и Hyper Terminal, согласно документации прилагаемой к вашему свитчу (настройки, для всех одинаковые /VT100+ANSI+9600+n+8+1/).
2. Запускаем Hyper Terminal (интерфейс RS-232 при этом должен быть подключен!), затем включаем свитч, СРАЗУ же нажимаем комбинацию клавиш Shift+3, далее появится приглашение на английском о смене скорости терминала на 115000, для чего отконнектимся от свитча, ставим в настройках порта в терминале 115000 и снова коннектимся им к свитчу… Далее выбираем меню Передача и далее отправить файл, в открывшемся окне нужно выбрать файл с прошивкой данного коммутатора. Жмем отправить.
3. Собственно и все, после отправки (обновления) прошивки меняем скорость соединения на стандартную, т. е. 9600 и перед нами консоль коммутатора с заводскими настройками и сброшенным паролем…
4. Далее кому как нравится, настраиваем коммутатор через консоль или через веб-интерфейс.
Сброс только пароля…
Работает не на всех коммутаторах… При включении коммутатора через консоль Hyper Terminal жмем комбинацию клавиш Shift+6… Далее коммутатор скажет, что выполняется возврат к заводским настройкам…
После сброса пароля перед нами предстанет консоль коммутатора….
На полноту описания не претендую, указал лишь путь, которому можно следовать, т. к. для разных моделей могут быть свои ньюансы… Для тех коммутаторов, у которых отсутсвует порт RS-232 на корпусе могу посоветовать поискать его распайку непосредственно на печатной плате внутри коммутатора, как правило, распайка под данный порт там присутствует, если же нет распайки под RS-232 порт на печатной плате, то ищем разъем JTAG, но это будет совсем уже другая история…
Это перепост моего сообщения с форума ixbt.ru
https://nikitushkinandrey.wordpress.com/2012/05/11/%d1%81%d0%b1%d1%80%d0%be%d1%81-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b5%d0%ba-%d0%ba%d0%be%d0%bc%d0%bc%d1%83%d1%82%d0%b0%d1%82%d0%be%d1%80%d0%be%d0%b2-d-link-%d0%bd%d0%b5-%d0%b8%d0%bc%d0%b5%d1%8e/
Программы удаленного управления локальной сетью
Предлагаю вашему вниманию урезанный вариант статьи Сергея Пахомова, полная версия доступна по прямой ссылке: http://www.compress.ru/article.aspx?id=17370&iid=805 Мною выделена только та часть статьи, которая представляет интерес, из моего опыта.
Программы удаленного управления ПК хорошо известны любому системному администратору или работнику службы технической поддержки, поскольку в своей повседневной деятельности они постоянно сталкиваются с задачей администрирования серверов и ПК пользователей локальной сети. Самая распространенная утилита для удаленного управления ПК — это, конечно же, Remote Desktop Connection, входящая в комплект операционной системы Windows. Этот факт объясняется не столько ее функциональными возможностями, сколько тем, что она является составной частью ОС, а потому приобретать ее отдельно не нужно. Что касается функциональности данной утилиты, то на практике ее, как правило, бывает недостаточно, поэтому нередко используются специализированные программные пакеты сторонних производителей. В настоящей статье мы рассмотрим специализированные программные пакеты, предназначенные для удаленного управления компьютерами.
LanHelper 1.61 (www.hainsoft.com)
С ее помощью можно производить удаленное выключение или перезагрузку одновременно нескольких компьютеров сети. На удаленных ПК можно запускать приложения (если они поддерживают запуск из командной строки), кроме того, поддерживается одновременный запуск одинаковых приложений на группе управляемых ПК.
Утилита LanHelper имеет встроенный набор команд, которые можно выполнять на удаленных ПК. При этом возможно указывать время, когда запускается приложение, и временной интервал, в соответствии с которым приложения запускаются на ПК (минимальный интервал 1 мин). Также можно составлять расписание запуска приложений на удаленных ПК. Самое главное достоинство программы заключается в том, что для реализации всех ее возможностей не требуется установка клиентской части на удаленные ПК.
Кроме удаленного выполнения команд, утилита LanHelper 1.61 позволяет просматривать, запускать и останавливать различные службы на удаленных, а также рассылать пользователям сообщения (для реализации данной возможности необходимо активировать службу Messenger на всех ПК).
Для реализации возможностей запуска приложений и выполнения команд на удаленных ПК необходимо иметь права администратора.
Демо-версия программы LanHelper LanHelper 1.61 имеет ограниченный срок действия — 30 дней, цена лицензии составляет 49,95 долл.
DameWare NT Utilities 5.5.0.2 (www.dameware.com)
Программный пакет DameWare NT Utilities 5.5.0.2 представляет собой мощную систему удаленного администрирования локальной сети. Он основан на комплексе утилит Microsoft Windows NT administration utilities, объединенных очень удобным единым интерфейсом. Большинство входящих в пакет утилит из набора Microsoft Windows NT administration utilities обладают расширенными возможностями, а кроме того, в нем есть ряд уникальных утилит. В частности, в пакет входит утилита DameWare Mini Remote Control, позволяющая полностью контролировать рабочий стол удаленного ПК, а также утилита для реализации режима командной строки на удаленном ПК.
При запуске пакета DameWare NT Utilities 5.5.0.2 автоматически сканируется вся сеть и в главном окне программы отображаются все доступные домены и рабочие группы, а также компьютеры в выбранном домене/рабочей группе.
Кратко перечислим возможности пакета DameWare NT Utilities 5.5.0.2: с его помощью можно просматривать информацию о жестких дисках на удаленных ПК, знакомиться с содержанием журнала событий Event Log, просматривать информацию о подключенных принтерах, о запущенных процессах и службах, об установленных приложениях, собирать подробную информацию о конфигурации ПК, получать служебную информацию об активированных пользователями ПК и многое другое. Имеются и дополнительные возможности: можно быстро редактировать реестр на удаленном ПК, посылать сообщения пользователям через службу Messenger, удаленно выключать или перезагружать компьютеры и, как уже говорилось, получать полное управление удаленным ПК через командную строку или рабочий стол.
Несомненным достоинством данного программного пакета является то, что для реализации удаленного управления не требуется вручную устанавливать клиентскую часть программы на удаленном ПК. При попытке управления удаленным ПК через рабочий стол или командную строку программа DameWare NT Utilities 5.5.0.2 автоматически выдает запрос на установку и запуск необходимой службы на удаленном ПК. В этом случае пользователь данного удаленного ПК узнает о перехвате управления во всплывающем окошке, в котором отображается информация о том, с какого именно ПК производится удаленное управление.
К достоинствам DameWare NT Utilities 5.5.0.2 можно отнести возможность одновременного подключения к нескольким компьютерам для управления ими, а также то, что при удаленном управлении не блокируется работа локального пользователя.
В целом этот программный пакет представляет собой мощное и удобное средство сетевого управления.
Демонстрационная версия программы является полнофункциональной, но с ограниченным 30 днями сроком действия. Цена одной лицензии — 289 долл. Кроме того, можно отдельно приобрести пакет DameWare Mini Remote Control для удаленного управления компьютерами через рабочий стол, одна лицензия будет стоить 89,95 долл.
EMCO Remote Desktop Professional 4.0 (www.emco.is)
По спектру функциональных возможностей этот продукт в какой-то мере аналогичен пакету DameWare NT Utilities 5.5.0.2. Программный пакет EMCO Remote Desktop Professional представляет собой набор функциональных инструментов для реализации удаленного управления локальной сетью и мониторинга ее состояния.
При запуске программы можно активировать сетевой сканер, который позволяет собрать подробную информацию обо всех компьютерах локальной сети, об установленных на них приложениях, о запущенных процессах, о версиях имеющейся операционной системы, об установленном оборудовании и т.д. Помимо автоматического сбора информации о компьютерах сети (этот процесс длится достаточно долго) ПК в список можно добавлять и вручную.
Пакет позволяет удаленно запускать и останавливать службы, перезапускать и выключать компьютеры. Самой интересной особенностью данной программы является возможность получения полного контроля над удаленным компьютером — для этого достаточно выделить нужный компьютер в списке и перейти к вкладке Viewer. Если управление компьютером производится в первый раз, то необходимо установить службу NetServer на удаленном ПК. Эта процедура осуществляется удаленно и является абсолютно незаметной для локального пользователя. После того как на удаленном ПК запущена служба NetServer, к нему можно подсоединиться, получить полный контроль над управлением и затем работать с удаленным ПК точно так же, как и с локальным. При удаленном управлении компьютером работа локального пользователя не блокируется; правда, если одновременно использовать мышь, то вряд ли что-нибудь получится.
Поскольку никаких уведомлений о том, что компьютер управляется извне, локальный пользователь не получает, программный пакет EMCO Remote Desktop Professional можно эффективно использовать для тайного наблюдения за действиями пользователей.
Еще одно важное преимущество программы заключается в том, что она позволяет одновременно удаленно управлять несколькими ПК. При этом для каждой сессии соединения с удаленным ПК отводится особое окно.
Из недостатков данной программы отметим сложность ее настройки при использовании ОС Windows XP SP2 на управляемом ПК. Причем, как показывает практика, необходимость настройки зависит от того, какие патчи установлены. Конечно, к программе прилагается пошаговая инструкция тех изменений, которые придется сделать в данном случае (точнее, программа загружает соответствующую инструкцию с сайта), однако все это довольно неудобно и непрактично.
Демонстрационная версия программы рассчитана на 30 дней и поддерживает только 25 компьютеров локальной сети. Цена пакета зависит от количества компьютеров в сети: 50 компьютеров (минимальное количество) — 135 долл.; 1000 компьютеров — 1295 долл.
UltraVNC 1.0.2 (www.uvnc.com)
Утилита UltraVNC 1.0.2 — это абсолютно бесплатная, но, тем не менее, очень эффективная утилита для удаленного управления ПК, работающая по схеме «клиент-сервер». На управляемом компьютере инсталлируется модуль UltraVNC Server, а на компьютере, с которого осуществляется управление, — модуль UltraVNC Viewer. Средств для удаленной инсталляции модуля UltraVNC Server в программе не предусмотрено, поэтому устанавливать модули необходимо локально.
Модуль UltraVNC Server имеет массу настроек и позволяет устанавливать пароль на подключение, выбирать используемые порты и т.д.
При доступе к рабочему столу удаленного ПК в режиме полного контроля работа локального пользователя не блокируется. Кроме того, утилита UltraVNC 1.0.2 предлагает и ряд дополнительных возможностей. К примеру, имеется встроенный чат, с помощью которого можно обмениваться сообщениями с удаленным ПК. Также предусмотрена возможность передачи файлов. Вдобавок ко всему утилита UltraVNC 1.0.2 обеспечивает шифрование передаваемых данных, для чего предусмотрен обмен ключами между компьютерами.
В целом можно отметить, что утилита UltraVNC 1.0.2 является высокоэффективным средством удаленного управления ПК и ее можно рекомендовать как для домашних пользователей, так и для корпоративного использования (особенно с учетом того, что утилита является бесплатной).
Hidden Administrator 1.5 (www.hiddenadm.nm.ru)
Программа Hidden Administrator 1.5 — это еще одна бесплатная программа для удаленного управления компьютерами, причем, как следует из названия, она позволяет осуществлять скрытое наблюдение за компьютерами.
Программа работает по принципу «клиент-сервер». Серверная часть устанавливается на управляемом компьютере, при этом средств для удаленной установки не предусмотрено.
Кроме функции получения доступа в режиме полного контроля к рабочему столу удаленного компьютера, программа Hidden Administrator 1.5 предлагает ряд дополнительных возможностей: получать информацию о конфигурации удаленного ПК, обмениваться файлами с удаленным ПК, посылать сообщения на удаленный ПК, выключать или перезагружать удаленный компьютер, работать с реестром удаленного ПК, получать и передавать буфер обмена, запускать программы на удаленном ПК и многое другое (рис. 16). Перечисление всего, на что способна эта программа, заняло бы массу времени. Отметим, что единственное, чего она не умеет делать, — это шифровать трафик. Естественно, предусмотрена установка пароля на соединение с удаленным ПК и даже настройка IP-фильтра на компьютеры, с которых возможно удаленное управление.
Данная утилита является лучшей в своем классе, и ее можно рекомендовать домашним пользователям.
Вот такой хороший экскурс нам приготовил Сергей Пахомов в программы удаленного управления хостами в локальной сети (а не самой сетью).
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d1%8b-%d1%83%d0%b4%d0%b0%d0%bb%d0%b5%d0%bd%d0%bd%d0%be%d0%b3%d0%be-%d1%83%d0%bf%d1%80%d0%b0%d0%b2%d0%bb%d0%b5%d0%bd%d0%b8%d1%8f-%d0%bb%d0%be%d0%ba/
Автор:
Unknown
на
16:16
Комментариев нет:
Отправить по электронной почтеНаписать об этом в блогеПоделиться в XОпубликовать в FacebookПоделиться в Pinterest
Ярлыки:
программы,
удаленка,
удаленное управление,
DameWare,
EMCO Remote Desktop,
Hidden Administrator,
LanHelper,
programms,
Remote managment,
UltraVNC
Суперкомпьютер на основе P2P сетей – еще один шаг на пути к созданию искусственного интеллекта
Проблемой создания искусственного интеллекта человечество заинтересоввалось сравнительно недавно, приблизительно с середины прошлого века. На настоящий момент уже имеются теоретические наработки и обоснования в данной области. Это позволило бы создать искусственный разум уже сегодня, но пока все упирается в быстродействие современных технических средств, а зачастую и в их стоимость.
Недавно наткнулся на одну очень интересную разработку, которая позволяет создать суперкомпьютер некоторому количеству участников на основе сетей P2P. Разработка является абсолютно бесплатной (Open Source) и доступна в репозиториях топовых дистрибутивов Linux, носит название CPUShare. Разработчиком данного проекта является Andrea Arcangeli. Программное обеспечение позволяет создать виртуальный суперкомпьютер в течение нескольких минут. Данное программное обсепечение работает на большинстве распространенных аппаратных и всех системных (OS) платформах. Сайт проекта: http://www.cpushare.com. Полюбопытствуйте, не пожалеете потраченного времени.
Использование P2P сетей для реализации распределенных вычислений дает неоспоримое преимущество – количество участников может быть очень большим, соответственно и вычислительные мощности могут быть на порядки выше существующих мощностей суперкомпьютеров в современных датацентрах. К тому же, ввиду децентраллизации P2P сети, данный виртуальный суперкомпьютер будет максимально отказоустойчивым, т. е. функционал сохраниться вне зависимости от того, если часть сети выйдет из строя по каким-либо причинам. Например, стихийные бедствия, военные действия, диверсии и т.д. Данное программное обеспечение, как упоминалось выше, может быть развернуто на любых операционных системах (Linux, Unix, Windows), а это позволит на порядки сократить расходы на создание мощных вычислительных систем, либо сделать их вычислительные мощности еще большими и отказоустойчивыми. А при повсеместном обязательном внедрении клиентской части такой системы, например, в ряде отраслей, ведомствах, отдельных предприятиях, позволит довести вычислительную мощность до недосягаемых ранее высот.
Для обычных пользователей она также представляет интерес, например, с помощью нее можно получить необходимое дополнительное быстродействие на малопроизводительных аппаратных платформах, которые по ряду причин пока нет возможности заменить, например, компьютерные игры. Вариантов может быть множество. Да и коммерческое использование не исключается, излишние вычислительные мощности можно сдавать в аренду за определенную плату.
Никитушкин Андрей
07 июля 2012 года.
https://nikitushkinandrey.wordpress.com/2012/06/07/%d1%81%d1%83%d0%bf%d0%b5%d1%80%d0%ba%d0%be%d0%bc%d0%bf%d1%8c%d1%8e%d1%82%d0%b5%d1%80-%d0%bd%d0%b0-%d0%be%d1%81%d0%bd%d0%be%d0%b2%d0%b5-p2p-%d1%81%d0%b5%d1%82%d0%b5%d0%b9-%d0%b5%d1%89%d0%b5-%d0%be/
Supercomputer on the basis of P2P of networks – one more step on a way to machine intelligence creation
Problem of creation of machine intelligence mankind заинтересоввалось rather recently, approximately from the middle of the last century. Currently already there are theoretical practices and reasons in the field. It would allow to create artificial reason already today but while everything rests against high-speed performance of the modern means, and often and in their cost.
Recently came across one very interesting development which allows to create a supercomputer to a quantity of participants on the basis of the P2P networks. Development is absolutely free (Open Source) and is available in repositories of top distribution kits of Linux, wears the name CPUShare. The developer of this project is Andrea Arcangeli. The software allows to create the virtual supercomputer within several minutes. This program obsepecheniye works at the majority of widespread equipment rooms and all system (OS) platforms. Project site: http://www.cpushare.com. Be curious, won’t regret spent time.
Use of P2P of networks for implementation of the distributed computation gives conclusive priority – the number of participants can be very big, respectively and computational capabilities can be on orders above existing capacities of supercomputers in the modern data-centers. Besides, in view of decentralization of P2P of a network, this virtual supercomputer will be the most fault-tolerant, i.e. the functionality to remain regardless of if the part of a network fails for any reasons. For example, natural disasters, hostilities, diversions etc. This software as it was mentioned above, can be unrolled on any operating systems (Linux, Unix, Windows), and it will allow to cut down for orders expenses on creation of powerful computing systems, or to make their computational capabilities still big and fault-tolerant. And in case of universal mandatory implementation of a client part of such system, for example, in a number of branches, the departments, the separate enterprises, will allow to finish computational capability to inaccessible before heights.
It also is of interest for normal users, for example, by means of it it is possible to receive necessary additional high-speed performance on unproductive hardware platforms which for some reasons while there is no possibility to replace, for example, computer games. Options there can be a set. And commercial use isn’t excluded, it is possible to lease excessive computational capabilities for a certain board.
Nikitushkin Andrey
On July 07, 2012.
https://nikitushkinandrey.wordpress.com/2012/07/17/supercomputer-on-the-basis-of-p2p-of-networks-one-more-step-on-a-way-to-machine-intelligence-creation/
Включение протокола DCCP в OS Linux.
DCCP – протокол транспортного уровня, принят в качестве стандарта в 2006 году, впервые был включён в ядро 2.6.14, более полное описание можно получить обратившись к RFC 4340. Предназначен для улучшения функционирования потоковых приложений. По-умолчанию не задействован в ядрах различных дистрибутивов Linux, т. к. до сих пор находится в экспериментальной ветке.
Для его включения необходимо выполнить следующее:
modprobe dccp #Включаем протокол dccp
modprobe xt_dccp #Включаем модуль отслеживания соединений по протоколу dccp средствами iptables
sysctl -w net.dccp.default.seq_window=10000 #Устанавливаем размер окна по-умолчанию
sysctl -w net.ipv4.tcp_ecn = 1 #Включаем управление перегрузкой, которое зависит от модуля dccp
Рекомендую включить данный модуль (dccp), т. к. отзывчивость и работоспособность сети значительно улучшится, при этом не забываем также включать модуль xt_dccp для возможности контроля за данным протоколом. Но не стоит забывать и о безопасности, я имею ввиду ECN.
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b2%d0%ba%d0%bb%d1%8e%d1%87%d0%b5%d0%bd%d0%b8%d0%b5-%d0%bf%d1%80%d0%be%d1%82%d0%be%d0%ba%d0%be%d0%bb%d0%b0-dccp-%d0%b2-os-linux/
Xtables-addons или добавляем функциональности фильтрации пакетов.
Проект xtables-addons представляет собой набор модулей-расширений
для входящего в ядро Linux фреймворка фильтрации и преобразования
пакетов netfilter. В этот набор включаются расширения, которые по тем
или иным причинам пока не были приняты в основную ветку разработки ядра
Linux. Таким образом, данный проект является альтернативой устаревшему
patch-o-matic(-ng). Ключевое отличие xtables-addons от предшественника
состоит в отсутствии необходимости в наложении патчей на ядро и
iptables, что значительно упрощает процесс сопровождения и установки
расширений. Во времена patch-o-matic часто бывало сложно найти версию
патча, совместимую с нужной версией ядра и/или iptables, в то время как
для работы xtables-addons достаточно наличия ядра версии >=2.6.17 и
iptables >= 1.4.3 (впрочем, в случае использования ipset 5 требования
становятся несколько более жесткими — версия ядра не менее 2.6.35,
дополнительно требуется библиотека libmnl). В числе других преимуществ
xtables-addons над patch-o-matic(-ng) можно упомянуть расширенную
поддержку IPv6 и более высокое качество кода.
В состав xtables-addons входит множество других полезных модулей (критериев и действий iptables/netfilter), в частности:
- TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, и работают атакующие ботнеты.
- DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST (чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление о состоянии ваших портов.
- CHAOS — еще один инструмент, позволяющий поставить атакующего в глупое положение. С заданной вероятностью он применяет к входящему пакету операцию TARPIT или DELUDE (в зависимости от настроек), либо стандартную операцию REJECT (отправка ICMP-уведомления о недоступности порта), либо операцию DROP (блокирование пакета без уведомления отправляющей стороны). По умолчанию вероятности применения TARPIT/DELUDE и REJECT составляют порядка одного процента, к остальному трафику применяется DROP.
- IPMARK — действие, позволяющее присвоить пакету маркировку, определенную в результате арифметических операций над его исходным адресом (либо адресом назначения). Таким образом, грамотная организация адресного пространства в сочетании с элементарными арифметическими и побитовыми операциями могут заменить монструозные таблицы соответствия «адрес — маркировка», поиск по которым может отнимать значительную долю системных ресурсов. Особенно полезна данная операция при организации гибких систем шейпинга, когда несколькими командами можно настроить работу многих тысяч очередей.
- LOGMARK — действие, дополняющее набор данных, выводимых стандартной операцией LOG, такими сведениями, как маркировка, идентификатор, состояние и статус соединения в системе conntrack, маркировка SELinux и классификационный код шейпера для данного пакета, имя родительского хука, внутренний код интерфейса и т.п.
- RAWDNAT/RAWSNAT — операции «сырой» трансляции адресов, не использующие трекинг соединений. Могут быть использованы для увеличения гибкости стандартного NAT либо при ограниченности ресурсов в сочетании с большим количеством соединений, когда трекинг становится чересчур накладным.
- ACCOUNT — простая, высокопроизводительная система учета трафика, поддерживающая работу с клиентскими сетями большого размера (вплоть до /8).
- SYSRQ — инструмент, позволяющий при получении специальным образом сформированных (защищенных паролем) пакетов обращаться к системному триггеру. В частности, можно удаленно инициировать сброс кэша (sync) или даже выполнить ту самую последовательность REISUB, вне зависимости от работоспособности userspace.
- DHCPMAC/dhcpmac — сочетание одноименных критерия и действия позволяет выделять и подменять MAC-адреса, фигурирующие в запросах и ответах DHCP.
- condition — критерий, срабатывающий в зависимости от значения соответствующей булевой переменной, которое может быть задано из userspace (через procfs). Таким образом, работой правил netfilter можно управлять, не вмешиваясь в их структуру.
- fuzzy — критерий, выделяющий пакеты на основании нечеткой логики (при скорости поступления пакетов ниже пороговой величины a, вероятность соответствия пакета критерию равна нулю, в диапазоне скоростей от a до b вероятность плавно возрастает до единицы, и при скорости выше b пакеты всегда соответствуют критерию).
- geoip — критерий, позволяющий выделять пакеты на основании принадлежности их исходного адреса или адреса назначения заданному государству. Можно использовать базы данных от MaxMind или WIPmania
- iface — критерий, срабатывающий в зависимости от состояния заданного сетевого интерфейса. В частности, с его помощью можно организовывать отказоустойчивый доступ в интернет при наличии нескольких независимых каналов, с автоматическим исключением неработающих каналов.
- ipp2p — критерий, позволяющий выделять трафик различных P2P-сетей, в частности, BitTorrent, eDonkey/eMule, DC, Gnutella, AppleJuice, WinMX, SoulSeek, Ares, KaZaA. Чрезвычайно удобен при организации эффективного шейпинга трафика. Является неплохой альтернативой критерию l7filter, который требует наложения патчей на ядро и поэтому не включен в проект xtables-addons.
- lscan — разработанный Яном Энгельгардтом инструмент для выявления скрытных операций по сканированию TCP-портов.
- psd — более простой инструмент для выявления массовых сканирований TCP- и UDP-портов, основанный на принципе взвешенной суммы.
- pknock — позволяет организовать защиту портов посредством технологии port knocking. Возможно дополнительное усиление защиты за счет использования HMAC256-шифрования отправляемых пакетов.
- quota2, length2 — расширяют возможности стандартных критериев netfilter quota и length.
Данная статья подготовлена по материалам сайта: http://www.opennet.ru/opennews/art.shtml?num=29198
Надеюсь, что еще одно подробное описнание некоторых возможностей фильтрации пакетов в Linux, будет полезным. Успехов вам в дружбе с тюксом.
В состав xtables-addons входит множество других полезных модулей (критериев и действий iptables/netfilter), в частности:
- TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, и работают атакующие ботнеты.
- DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST (чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление о состоянии ваших портов.
- CHAOS — еще один инструмент, позволяющий поставить атакующего в глупое положение. С заданной вероятностью он применяет к входящему пакету операцию TARPIT или DELUDE (в зависимости от настроек), либо стандартную операцию REJECT (отправка ICMP-уведомления о недоступности порта), либо операцию DROP (блокирование пакета без уведомления отправляющей стороны). По умолчанию вероятности применения TARPIT/DELUDE и REJECT составляют порядка одного процента, к остальному трафику применяется DROP.
- IPMARK — действие, позволяющее присвоить пакету маркировку, определенную в результате арифметических операций над его исходным адресом (либо адресом назначения). Таким образом, грамотная организация адресного пространства в сочетании с элементарными арифметическими и побитовыми операциями могут заменить монструозные таблицы соответствия «адрес — маркировка», поиск по которым может отнимать значительную долю системных ресурсов. Особенно полезна данная операция при организации гибких систем шейпинга, когда несколькими командами можно настроить работу многих тысяч очередей.
- LOGMARK — действие, дополняющее набор данных, выводимых стандартной операцией LOG, такими сведениями, как маркировка, идентификатор, состояние и статус соединения в системе conntrack, маркировка SELinux и классификационный код шейпера для данного пакета, имя родительского хука, внутренний код интерфейса и т.п.
- RAWDNAT/RAWSNAT — операции «сырой» трансляции адресов, не использующие трекинг соединений. Могут быть использованы для увеличения гибкости стандартного NAT либо при ограниченности ресурсов в сочетании с большим количеством соединений, когда трекинг становится чересчур накладным.
- ACCOUNT — простая, высокопроизводительная система учета трафика, поддерживающая работу с клиентскими сетями большого размера (вплоть до /8).
- SYSRQ — инструмент, позволяющий при получении специальным образом сформированных (защищенных паролем) пакетов обращаться к системному триггеру. В частности, можно удаленно инициировать сброс кэша (sync) или даже выполнить ту самую последовательность REISUB, вне зависимости от работоспособности userspace.
- DHCPMAC/dhcpmac — сочетание одноименных критерия и действия позволяет выделять и подменять MAC-адреса, фигурирующие в запросах и ответах DHCP.
- condition — критерий, срабатывающий в зависимости от значения соответствующей булевой переменной, которое может быть задано из userspace (через procfs). Таким образом, работой правил netfilter можно управлять, не вмешиваясь в их структуру.
- fuzzy — критерий, выделяющий пакеты на основании нечеткой логики (при скорости поступления пакетов ниже пороговой величины a, вероятность соответствия пакета критерию равна нулю, в диапазоне скоростей от a до b вероятность плавно возрастает до единицы, и при скорости выше b пакеты всегда соответствуют критерию).
- geoip — критерий, позволяющий выделять пакеты на основании принадлежности их исходного адреса или адреса назначения заданному государству. Можно использовать базы данных от MaxMind или WIPmania
- iface — критерий, срабатывающий в зависимости от состояния заданного сетевого интерфейса. В частности, с его помощью можно организовывать отказоустойчивый доступ в интернет при наличии нескольких независимых каналов, с автоматическим исключением неработающих каналов.
- ipp2p — критерий, позволяющий выделять трафик различных P2P-сетей, в частности, BitTorrent, eDonkey/eMule, DC, Gnutella, AppleJuice, WinMX, SoulSeek, Ares, KaZaA. Чрезвычайно удобен при организации эффективного шейпинга трафика. Является неплохой альтернативой критерию l7filter, который требует наложения патчей на ядро и поэтому не включен в проект xtables-addons.
- lscan — разработанный Яном Энгельгардтом инструмент для выявления скрытных операций по сканированию TCP-портов.
- psd — более простой инструмент для выявления массовых сканирований TCP- и UDP-портов, основанный на принципе взвешенной суммы.
- pknock — позволяет организовать защиту портов посредством технологии port knocking. Возможно дополнительное усиление защиты за счет использования HMAC256-шифрования отправляемых пакетов.
- quota2, length2 — расширяют возможности стандартных критериев netfilter quota и length.
Данная статья подготовлена по материалам сайта: http://www.opennet.ru/opennews/art.shtml?num=29198
Надеюсь, что еще одно подробное описнание некоторых возможностей фильтрации пакетов в Linux, будет полезным. Успехов вам в дружбе с тюксом.
https://nikitushkinandrey.wordpress.com/2012/05/11/xtables-addons-%d0%b8%d0%bb%d0%b8-%d0%b4%d0%be%d0%b1%d0%b0%d0%b2%d0%bb%d1%8f%d0%b5%d0%bc-%d1%84%d1%83%d0%bd%d0%ba%d1%86%d0%b8%d0%be%d0%bd%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d1%81%d1%82%d0%b8-%d1%84%d0%b8/
Улучшаем энергосбережение на мобильных устройствах с OS Linux.
Давненько собирался написать данную статью.
Не буду приводить информацию о том, как подключить общеизвестные костыли. Расскажу о малоизвестных способах тюнинга энергосбережения.
Приступим.
Управление энергосбережением на мобильных чипах Broadcom с STA модулем:
iwconfig eth1 txpower 19dBm
iwconfig eth1 power period 1
iwconfig eth1 power timeout 300u all
iwconfig eth1 power 500m unicast
iwconfig eth1 power min period 1 power max period 2
iwconfig eth1 power saving 5
iwconfig eth1 commit
Изменяем процент с которого начинается использование свопа:
echo 10 > /proc/sys/vm/swappiness
Включаем отслеживание состояния питания:
echo “1″ > /sys/power/pm_trace
Управление вентилятором процессора:
echo “1″ > /sys/class/thermal/cooling_device0/cur_state
Управление энергосбережением контроллеров для подключаемых носителей:
echo min_power > /sys/class/scsi_host/host2/link_power_management_policy
echo min_power > /sys/class/scsi_host/host3/link_power_management_policy
echo min_power > /sys/class/scsi_host/host4/link_power_management_policy
Включаем энергосбережение для шины PCIe:
echo powersave > /sys/module/pcie_aspm/parameters/policy
Включаем энергосбережение для шины USB:
[ -L /sys/bus/usb/devices/1-5/power/level ] && echo auto > /sys/bus/usb/devices/1-5/power/level
[ -L /sys/bus/usb/devices/1-5/power/level ] && echo auto > /sys/bus/usb/devices/1-5/power/level
for i in /sys/bus/usb/devices/*/power/autosuspend; do echo 1 > $i; done
for i in /sys/bus/usb/devices/*/power/level; do echo auto > $i; done
Последнее используйте с осторожностью, т. к. могут быть проблемы с мышью.
или options usbcore autosuspend=1 в /etc/modprobe.conf или /etc/modules
Включаем режим для портативных устройств:
echo “5″ > /proc/sys/vm/laptop_mode
Настраиваем энергосбережение для подключаемых носителей информации:
hdparm -B 128 -S 200 /dev/sda
hdparm -B 128 -S 200 /dev/sg1
Параметры, специфичные для платформ на основе Intel-овской логики:
echo 1 > /sys/module/i915/parameters/i915_enable_rc6
echo 1 > /sys/module/snd_hda_intel/parameters/power_save
echo 1 > /sys/module/longhaul/parameters/scale_voltage
Более подробно и более познавательно об этом можно прочитать и найти более интресную информацию по следующей ссылке:
http://www.thinkwiki.org/wiki/How_to_reduce_power_consumption
“Знания и труд – горы перетрут!”, не так ли?
https://nikitushkinandrey.wordpress.com/2012/05/11/%d1%83%d0%bb%d1%83%d1%87%d1%88%d0%b0%d0%b5%d0%bc-%d1%8d%d0%bd%d0%b5%d1%80%d0%b3%d0%be%d1%81%d0%b1%d0%b5%d1%80%d0%b5%d0%b6%d0%b5%d0%bd%d0%b8%d0%b5-%d0%bd%d0%b0-%d0%bc%d0%be%d0%b1%d0%b8%d0%bb%d1%8c/
Улучшаем работу Wi-Fi сети с тюксом на борту. ;-)
Предлагаю произвести следующие изменения в алгоритме управления соединениями:
1. Подключаем следующие модули:
modprobe tcp_vegas
modprobe tcp_veno
2. Включаем управление передачей veno
echo “veno” > /proc/sys/net/ipv4/tcp_congestion_control
Алгоритм reno уже зарегистрирован в системе. Алгоритм veno является гибридом из алгоритмов vegas и reno, он аккумулирует все лучшее данных алгоритмов, но пока все еще является экспериментальным. Если вы не хотите использовать его на ответственных узлах с Wi-Fi, то включите алгоритм vegas.
Удачи в дружбе с тюксом!
https://nikitushkinandrey.wordpress.com/2012/05/11/%d1%83%d0%bb%d1%83%d1%87%d1%88%d0%b0%d0%b5%d0%bc-%d1%80%d0%b0%d0%b1%d0%be%d1%82%d1%83-wi-fi-%d1%81%d0%b5%d1%82%d0%b8-%d1%81-%d1%82%d1%8e%d0%ba%d1%81%d0%be%d0%bc-%d0%bd%d0%b0-%d0%b1%d0%be%d1%80%d1%82/
Мой рецепт по детектированию и блокированию аномального сканирования средствами iptables в Linux
Давно не писал сам, хочу исправиться.
Сегодня речь пойдет о детектировании и блокировки аномального сканирования средствами iptables в операционной системе Linux.
Т. к. рецептами моего блога пользуются без указания меня, как первоисточника (и без ссылок на мои статьи), размещая, к тому же, аналогичную информацию задним числом, то обещаю, что это последняя моя помощь вам, любители плагиата.
Нижеописанные правила собраны мною из различных, не русскоязычных, источников, но все вместе, в том виде, в котором они будут приведены мною, вы не найдете ни на одном ресурсе в сети Интернет. Впрочем информация, приведенная по тьюнингу сетевого стека Windows в разделе MS Platforms на данном сайте, также уникальна и нигде не встречается в том виде, в котором она дается мною.
Не буду зазря лить воду, перейдем к делу.
Предлагаю внести следующие изменения в ваши таблицы iptables:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j LOG –log-prefix “Stealth scan: 0STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j LOG –log-prefix “Stealth scan: 1STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j LOG –log-prefix “Stealth scan: 2STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG –log-prefix “Stealth scan: 3STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j LOG –log-prefix “Stealth scan: 4STEAL “
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j LOG –log-prefix “Stealth scan: 5STEAL “
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j LOG –log-prefix “6Stealth scan”
iptables -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j LOG –log-prefix “7Abnormal steal”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j LOG –log-prefix “8Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j LOG –log-prefix “A9bnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j LOG –log-prefix “10Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j LOG –log-prefix “11Abnormal sc$
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j LOG –log-prefix “12Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,URG URG -j LOG –log-prefix “13Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,URG URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL FIN -j LOG –log-prefix “14Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j LOG –log-prefix “15Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j LOG –log-prefix “16Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j LOG –log-prefix “17Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j LOG –log-prefix “18Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j LOG –log-prefix “19Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j LOG –log-prefix “20Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j LOG –log-prefix “21Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j LOG –log-prefix “22Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j LOG –log-prefix “23Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j LOG –log-prefix “24Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j LOG –log-prefix “25Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL RST -j LOG –log-prefix “26Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL RST,ACK -j LOG –log-prefix “27Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL RST,ACK -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j LOG –log-prefix “28Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG –log-prefix “29Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j STEAL
Как вы видите всего 29 цепочек. Данный список можно дополнить еще несколькими цепочками, но они нарушат нормальное функционирование сетевого стека вашего пингвина и могут быть использованы только на станции в конфигурации со средствами детектирования и превентивного реагирования сетевого вторжения. Поэтому мною они приводится не будут.
Не стоит также забывать о способах тmюнига сетевого стека средствами sysctrl, которые более богато представлены, по сравнению с возможностями сетевого стека MS Windows. С помощью средств sysctrl вы сможете еще более защитить ваш дефолтный тюкс.
Обещаю вам еще чем-нибудь порадовать в будущем.
Удачи! И до новых встреч!
https://nikitushkinandrey.wordpress.com/2012/07/20/%d0%bc%d0%be%d0%b9-%d1%80%d0%b5%d1%86%d0%b5%d0%bf%d1%82-%d0%bf%d0%be-%d0%b4%d0%b5%d1%82%d0%b5%d0%ba%d1%82%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d1%8e-%d0%b8-%d0%b1%d0%bb%d0%be%d0%ba%d0%b8%d1%80/
Подписаться на:
Сообщения (Atom)