RSS

Архив за месяц: Февраль 2011

Доступ к удаленной сети филиала через VPN.


Не буду лишний раз описывать настройки тех или иных решений на основе VPN (полно в сети), отмечу лишь один важный момент при реализации доступа к сети филиала из подсети головного офиса. А именно, зачастую администраторы забывают прописать дополнительные маршруты на сервере VPN к подсетям филиалов, в результате чего у админов имеется лишь доступ к одной рабочей станции удаленного филиала. Восстановление маршрутов при перезагрузке VPN сервера можно восстанавливать с помощью скриптинга.
Кроме того, зачастую пытаются делать приватные каналы на основе роутеров SOHO класса, не стоит этого делать, т. к. у роутеров такого класса довольно урезанные реализации VPN и имеются баги, поэтому лучше воспользоваться, например, сервером OpenVPND и его клиентом, администрирование существенно упростится и меньше станет зависимым от системного администратора.

Реклама
 
Оставить комментарий

Опубликовал на Февраль 18, 2011 в WAN

 

Метки:

Немного о VLAN.


VLAN — виртуальная локальная сеть. Возможность создания VLAN в локальных и глобальных сетях предоставляет нам активное управляемое сетевое оборудование. Используются VLAN для логического разбиения сетей на отдельные широковещательные домены на аппаратном уровне, для улучшения безопасности сетей, отделения одной части сети от другой, в зависимости от предъявляемых требований технического задания и(или) руководства.
Иногда находятся оппоненты, которые высказываются о том, что данную технологию все меньше и меньше используют, как в локальных, так и в глобальных сетях, ввиду развития технологий по криптозащите передаваемого трафика (IPSec, VPN, Kerberos). Да, данные технологии весьма широко применяются в настоящее время, да имеют высокий уровень защиты для передаваемого трафика, но оппоненты забывают о возможности получения верительных данных вышеназванных технологий, как через инсайдеров, так и через утечки данных, которые происходят из-за воздействия целевых вирусов. А технология VLAN защищена от такого рода утечек, ввиду ее особенностей, что делает её использование целесообразным в средах с повышенными требованиями к уровню защищенности передаваемой информации.
Как всегда скажу, что необходимо искать золотую середину между теми или иными возможностями и осмысленно их комбинировать. Успехов в работе с VLAN! 😉

 
Оставить комментарий

Опубликовал на Февраль 17, 2011 в WAN

 

Метки:

База управления информацией (mib).


Довольно часто имеется непонимание того, для чего предназначены базы управления информацией — MIB.
MIB предназначены в первую очередь для увеличения количества информации, которую может выдать станция управления сетью, использующая протокол SNMP для сбора статистики с активного сетевого оборудования, для того управляемого устройства, для которого данная информационная база предназначена и была загружена.
Например, она может дать дополнительную возможность по отслеживанию температуры устройства, расширенной информации о критичных сбоях данного устройства, возможность определения длин кабелей, подключенных к портам, расширить или даже включить возможность не только снятия статистики с управляемого устройства, но и добавить возможность изменения состояния этого устройства. Например, возможность включения или отключения того или иного порта(-ов) устройства по возникновению внутреннего или внешнего события, что является, несомненно, преимуществом при обеспечении информационной безопасности предприятия.

 
Оставить комментарий

Опубликовал на Февраль 17, 2011 в LAN

 

Метки:

Маркировка кабельной системы локальной сети.


Часто возникает необходимость в проведении маркировки кабельной системы предприятия, т. к. зачастую кабельные сети у нас до сих пор все еще не маркированы и администраторы даже не подозревают где и как проложена кабельная система, что несомненно наносит вред информационной безопасности предприятия и не позволяет оперативно решать те или иные повседневные задачи.
Я опишу наиболее действенный способ маркировки кабельной системы, который был мною реализован с помощью сотрудников ИТ-отдела. У каждого способа есть свои вариации, так что дерзайте! 😉
Итак, вначале необходимо задействовать станцию управления сетью, использующую протокол SNMP для сбора информации с активного сетевого оборудования, о чем мною писалось несколько ранее. Задействование такой станции нам позволит визуально оценить текущую структуру нашей локальной сети и даст представление о том, какой компьютер к какому порту какого коммутатора подключен, а также оценить здоровье сети. Далее берем, чертим таблицы для каждого компутатора, в которых записываем к каким портам данного коммутатора подключен(-ны) тот (те) или иной(-ые) компьютер (-ы). Далее модифицируем коммутацию кабельной системы нужным нам, предварительно согласованным с руководством, образом. В том случае, если к какому-либо порту коммутатора подключен(-ы) еще неуправляемые коммутаторы и нет возможности оценить разводку кабельной системы с помощью тестера сети, рекомендую задействовать дополнительный управляемый коммутатор, который временно включается взамен неуправляемого и с него снимаем дополнительную информацию станцией управления.
Если нет возможности выяснить пути прокладки кабеля визульными методами, то имеется возможность выявить данный кабель по кабельной маркировке, а именно, по маркировке производителя (уникальна для каждой бухты кабеля), а также по маркерам метража кабеля. Отмечаем себе маркировку производителя и метраж кабеля, а дальше ище по кабельканалам нужный нам кабель и смотрим как он проложен.
И, конечно же, используем кабельные тестеры для контроля разводки. Для связи с помощниками во время проведения такой маркировки удобно использовать обыкновенные туристические рации.
Маркировку коммутаторов, портов коммутаторов и розеток лучше всего производить по заранее оговоренному числовому или буквенно-числовому коду. И не забываем записывать все производимые изменения в наши таблицы (что, куда и как перекоммутировали). После полной перекоммутации составляем чистовые таблицы (разводку) нашей кабельной системы. Затем с помощью станции управления сетью еще раз сверяем наши таблицы с реальной структурой сети, выдаваемой станцией управления.
Все! Теперь вы и сотрудники ИТ-отдела знаете, куда и как идет тот или иной кабель на вашем предприятии. А это дает возможность заняться непосредственно улучшением здоровья вашей локальной сети на основании статистики, собираемой станцией управления сетью. Например, на основании большого количества потерянных пакетов на том или ином порту коммутаора можно сделать вывод о том, что что-то не в порядке у цепочки адптер-кабель-порт. И не забываем использовать кабельные тестеры для проверки таких цепочек, желательно умеющие определять длину кабеля, т. к. большое количество потерянных пакетов может говорить и об излишне длинном кабеле. SNMP также предоставляет оценить приблизительную длину кабеля от порта коммутатора до адаптера, но для этого, зачастую, требуется подгрузка соответствующей mib для данного управляемого активного сетевого оборудования.
Удачи вам! 😉

 
Оставить комментарий

Опубликовал на Февраль 17, 2011 в LAN

 

Метки:

Использование динамической адресации (DHCP/D/).


Использование динамической адресации в домене MS Windows и сетях Linux дает улучшение общей управляемостью в сети, т. к. отпадает необходимость в дополнительных издержках, например, при смене адресации. Но при этом следует учесть и требования безопасности, налагаемые на задействование DCHP адресации. А именно, крайне желательно иметь активное сетевое управляемое оборудование, которое позволяет автоматически переадресовывать DHCP запросы непосредственно на легальный сервер DHCP, это так называемая функция DHCP redirect у управляемых коммутаторов. Задействование данной функции позволит минимизировать негативные последствия в случае появления в сети ложного DHCP сервера. Кроме того, следует запретить получение данных для DHCP клиентов и сервера (-ов) от нелегитимных источников (IP адресов), для чего можно воспользоваться средствами фильтрации трафика IPSec/iptables по портам для клиентов DHCP и серверов DHCP. От пролучения пакетов, созданных генераторами пакетов это не защитит, при умелой генерации, но таких профессионалов среди народных умельцев, как правило, не наблюдается в локальных сетях. Но и от этой напасти есть весьма простой и действенный способ — всегда имеется возможность перезапустить службу DHCP. Еще больше усилит безопасность клиентов и серверов при динамической адресации использование возможностей изоляции доменов для сетей Windows и аналогичные возможности IpSec в сетях Linux. В этом случае извне никто не сможет нарушить сетевую безопасность, просто подключившись к локальной сети организации. А вычисление народных умельцев, которые хулиганят в рабочее время, станет лишь делом техники, а точнее умелого использования сочетания средств управления сетью и средств мониторинга сети.

 
Оставить комментарий

Опубликовал на Февраль 17, 2011 в LAN

 

Метки:

Модернизация локальной сети.


Довольно часто возникает необходимость в модернизации локальной сети предприятия. Но к ней необходимы объективные предпосылки, тем более если в локальной сети насчитывается несколько сот рабочих станций 😉 Т. е. необходимо предварительное исследование сети, выявление узких мест, а также необходим мониторинг производительности серверов баз данных, контроллеров домена, samba серверов.
Лучше всего для получения статистики здоровья сети воспользоваться средствами, предоставляемыми самим активным оборудованием, которое, как правило, поддерживает SNMP, средствами которого и предлагаю воспользоваться. Некоторое активное оборудование умеет отображать собственную статистику в разрезе времени, при доступе к нему через веб-интерфейс, но лучше все же воспользоваться SNMP, т. к. активное сетевое оборудование могут отключить и статистика потеряется. А информации, полученная по протоколу SNMP станцией управления сетью сохранится. Лучше всего выбрать статистику за один месяц и изучить результаты. Сразу станет понятно какие места в сети являются узкими и для которых необходима последующая модернизация.
Стоит отметить, что ядро сети необходимо организовать из одного — двух (в стеке) высокопроизводительных коммутаторов, к которым лучше всего напрямую подключить сервера организации. Следует также учесть запас пропускной способности в выявленных узких и остальных узлах сети, который не должен быть меньше 40%. Такой запас необходим для возможного будущего роста локальной сети предприятия. При наличии силовых кабелей в местах прокладки кабеля стоит выбрать экранированную витую пару. Также стоит проверить заземление на всех ключевых узлах локальной сети, т. к. его отсутсвие может привести в будущем к неприятным последствиям.
Сервера должны быть подключены к ядру сети по высокроизводительным магистралям, например, по 1Gbit Ethernet и выше. Для серверов также возможно кратное увеличение пропускной способности магистралей, если имеется программное обеспечение производителя сетевых адаптеров по агрегированию каналов связи.
Но все это должно быть обосновано на основе данных собранной статистики, а также с учетом дальнейшего расширения отдельных сегментов сети (по возможности).

 
Оставить комментарий

Опубликовал на Февраль 17, 2011 в LAN

 

Метки:

Об использовании сайтов AD в домене MS Windows, а также о доверительных отношениях между доменами.


«Для чего используются доверительные отношения (trusts) в домене MS Windows?» — довольно часто приходится слышать такой вопрос. Доверительные отношения в домене MS Windows используются для возможности сквозной, без ввода дополнительных паролей и данных, атунификации в другом (доверяющем) домене. Что позволяет пользователям прозрачно использовать ресурсы обоих доменов, при этом необходимо отметить, что групповые политики безопасности в обоих доменах индивидуальны (домены-то разные).
Сайтовость (sites) AD в домене MS Windows используется для разграничения прав доступа для нижележащих деревьев (доменов), что может быть использовано для ограничения функционала управления отдельными компонентами AD, DNS, например, у подчиненных доменов. Т. е. сайтовость позволяет увеличить уровень защиты от несогласованных или необдуманных действий системных администраторов нижестоящих подразделений. Лучше выполнить самому какое-либо критичное изменение на вышестоящем уровне для нижестоящего, чем в случае возникновения проблем разбираться в том, что привело к этому или играть в угадайку.

 
Оставить комментарий

Опубликовал на Февраль 16, 2011 в Windows

 
 
%d такие блоггеры, как: