RSS

Архив за месяц: Февраль 2011

Доступ к удаленной сети филиала через VPN.


Не буду лишний раз описывать настройки тех или иных решений на основе VPN (полно в сети), отмечу лишь один важный момент при реализации доступа к сети филиала из подсети головного офиса. А именно, зачастую администраторы забывают прописать дополнительные маршруты на сервере VPN к подсетям филиалов, в результате чего у админов имеется лишь доступ к одной рабочей станции удаленного филиала. Восстановление маршрутов при перезагрузке VPN сервера можно восстанавливать с помощью скриптинга.
Кроме того, зачастую пытаются делать приватные каналы на основе роутеров SOHO класса, не стоит этого делать, т. к. у роутеров такого класса довольно урезанные реализации VPN и имеются баги, поэтому лучше воспользоваться, например, сервером OpenVPND и его клиентом, администрирование существенно упростится и меньше станет зависимым от системного администратора.

 
Оставить комментарий

Опубликовал на 18 февраля, 2011 в WAN

 

Метки:

Немного о VLAN.


VLAN — виртуальная локальная сеть. Возможность создания VLAN в локальных и глобальных сетях предоставляет нам активное управляемое сетевое оборудование. Используются VLAN для логического разбиения сетей на отдельные широковещательные домены на аппаратном уровне, для улучшения безопасности сетей, отделения одной части сети от другой, в зависимости от предъявляемых требований технического задания и(или) руководства.
Иногда находятся оппоненты, которые высказываются о том, что данную технологию все меньше и меньше используют, как в локальных, так и в глобальных сетях, ввиду развития технологий по криптозащите передаваемого трафика (IPSec, VPN, Kerberos). Да, данные технологии весьма широко применяются в настоящее время, да имеют высокий уровень защиты для передаваемого трафика, но оппоненты забывают о возможности получения верительных данных вышеназванных технологий, как через инсайдеров, так и через утечки данных, которые происходят из-за воздействия целевых вирусов. А технология VLAN защищена от такого рода утечек, ввиду ее особенностей, что делает её использование целесообразным в средах с повышенными требованиями к уровню защищенности передаваемой информации.
Как всегда скажу, что необходимо искать золотую середину между теми или иными возможностями и осмысленно их комбинировать. Успехов в работе с VLAN! 😉

 
Оставить комментарий

Опубликовал на 17 февраля, 2011 в WAN

 

Метки:

База управления информацией (mib).


Довольно часто имеется непонимание того, для чего предназначены базы управления информацией — MIB.
MIB предназначены в первую очередь для увеличения количества информации, которую может выдать станция управления сетью, использующая протокол SNMP для сбора статистики с активного сетевого оборудования, для того управляемого устройства, для которого данная информационная база предназначена и была загружена.
Например, она может дать дополнительную возможность по отслеживанию температуры устройства, расширенной информации о критичных сбоях данного устройства, возможность определения длин кабелей, подключенных к портам, расширить или даже включить возможность не только снятия статистики с управляемого устройства, но и добавить возможность изменения состояния этого устройства. Например, возможность включения или отключения того или иного порта(-ов) устройства по возникновению внутреннего или внешнего события, что является, несомненно, преимуществом при обеспечении информационной безопасности предприятия.

 
Оставить комментарий

Опубликовал на 17 февраля, 2011 в LAN

 

Метки:

Маркировка кабельной системы локальной сети.


Часто возникает необходимость в проведении маркировки кабельной системы предприятия, т. к. зачастую кабельные сети у нас до сих пор все еще не маркированы и администраторы даже не подозревают где и как проложена кабельная система, что несомненно наносит вред информационной безопасности предприятия и не позволяет оперативно решать те или иные повседневные задачи.
Я опишу наиболее действенный способ маркировки кабельной системы, который был мною реализован с помощью сотрудников ИТ-отдела. У каждого способа есть свои вариации, так что дерзайте! 😉
Итак, вначале необходимо задействовать станцию управления сетью, использующую протокол SNMP для сбора информации с активного сетевого оборудования, о чем мною писалось несколько ранее. Задействование такой станции нам позволит визуально оценить текущую структуру нашей локальной сети и даст представление о том, какой компьютер к какому порту какого коммутатора подключен, а также оценить здоровье сети. Далее берем, чертим таблицы для каждого компутатора, в которых записываем к каким портам данного коммутатора подключен(-ны) тот (те) или иной(-ые) компьютер (-ы). Далее модифицируем коммутацию кабельной системы нужным нам, предварительно согласованным с руководством, образом. В том случае, если к какому-либо порту коммутатора подключен(-ы) еще неуправляемые коммутаторы и нет возможности оценить разводку кабельной системы с помощью тестера сети, рекомендую задействовать дополнительный управляемый коммутатор, который временно включается взамен неуправляемого и с него снимаем дополнительную информацию станцией управления.
Если нет возможности выяснить пути прокладки кабеля визульными методами, то имеется возможность выявить данный кабель по кабельной маркировке, а именно, по маркировке производителя (уникальна для каждой бухты кабеля), а также по маркерам метража кабеля. Отмечаем себе маркировку производителя и метраж кабеля, а дальше ище по кабельканалам нужный нам кабель и смотрим как он проложен.
И, конечно же, используем кабельные тестеры для контроля разводки. Для связи с помощниками во время проведения такой маркировки удобно использовать обыкновенные туристические рации.
Маркировку коммутаторов, портов коммутаторов и розеток лучше всего производить по заранее оговоренному числовому или буквенно-числовому коду. И не забываем записывать все производимые изменения в наши таблицы (что, куда и как перекоммутировали). После полной перекоммутации составляем чистовые таблицы (разводку) нашей кабельной системы. Затем с помощью станции управления сетью еще раз сверяем наши таблицы с реальной структурой сети, выдаваемой станцией управления.
Все! Теперь вы и сотрудники ИТ-отдела знаете, куда и как идет тот или иной кабель на вашем предприятии. А это дает возможность заняться непосредственно улучшением здоровья вашей локальной сети на основании статистики, собираемой станцией управления сетью. Например, на основании большого количества потерянных пакетов на том или ином порту коммутаора можно сделать вывод о том, что что-то не в порядке у цепочки адптер-кабель-порт. И не забываем использовать кабельные тестеры для проверки таких цепочек, желательно умеющие определять длину кабеля, т. к. большое количество потерянных пакетов может говорить и об излишне длинном кабеле. SNMP также предоставляет оценить приблизительную длину кабеля от порта коммутатора до адаптера, но для этого, зачастую, требуется подгрузка соответствующей mib для данного управляемого активного сетевого оборудования.
Удачи вам! 😉

 
Оставить комментарий

Опубликовал на 17 февраля, 2011 в LAN

 

Метки:

Использование динамической адресации (DHCP/D/).


Использование динамической адресации в домене MS Windows и сетях Linux дает улучшение общей управляемостью в сети, т. к. отпадает необходимость в дополнительных издержках, например, при смене адресации. Но при этом следует учесть и требования безопасности, налагаемые на задействование DCHP адресации. А именно, крайне желательно иметь активное сетевое управляемое оборудование, которое позволяет автоматически переадресовывать DHCP запросы непосредственно на легальный сервер DHCP, это так называемая функция DHCP redirect у управляемых коммутаторов. Задействование данной функции позволит минимизировать негативные последствия в случае появления в сети ложного DHCP сервера. Кроме того, следует запретить получение данных для DHCP клиентов и сервера (-ов) от нелегитимных источников (IP адресов), для чего можно воспользоваться средствами фильтрации трафика IPSec/iptables по портам для клиентов DHCP и серверов DHCP. От пролучения пакетов, созданных генераторами пакетов это не защитит, при умелой генерации, но таких профессионалов среди народных умельцев, как правило, не наблюдается в локальных сетях. Но и от этой напасти есть весьма простой и действенный способ — всегда имеется возможность перезапустить службу DHCP. Еще больше усилит безопасность клиентов и серверов при динамической адресации использование возможностей изоляции доменов для сетей Windows и аналогичные возможности IpSec в сетях Linux. В этом случае извне никто не сможет нарушить сетевую безопасность, просто подключившись к локальной сети организации. А вычисление народных умельцев, которые хулиганят в рабочее время, станет лишь делом техники, а точнее умелого использования сочетания средств управления сетью и средств мониторинга сети.

 
Оставить комментарий

Опубликовал на 17 февраля, 2011 в LAN

 

Метки:

Модернизация локальной сети.


Довольно часто возникает необходимость в модернизации локальной сети предприятия. Но к ней необходимы объективные предпосылки, тем более если в локальной сети насчитывается несколько сот рабочих станций 😉 Т. е. необходимо предварительное исследование сети, выявление узких мест, а также необходим мониторинг производительности серверов баз данных, контроллеров домена, samba серверов.
Лучше всего для получения статистики здоровья сети воспользоваться средствами, предоставляемыми самим активным оборудованием, которое, как правило, поддерживает SNMP, средствами которого и предлагаю воспользоваться. Некоторое активное оборудование умеет отображать собственную статистику в разрезе времени, при доступе к нему через веб-интерфейс, но лучше все же воспользоваться SNMP, т. к. активное сетевое оборудование могут отключить и статистика потеряется. А информации, полученная по протоколу SNMP станцией управления сетью сохранится. Лучше всего выбрать статистику за один месяц и изучить результаты. Сразу станет понятно какие места в сети являются узкими и для которых необходима последующая модернизация.
Стоит отметить, что ядро сети необходимо организовать из одного — двух (в стеке) высокопроизводительных коммутаторов, к которым лучше всего напрямую подключить сервера организации. Следует также учесть запас пропускной способности в выявленных узких и остальных узлах сети, который не должен быть меньше 40%. Такой запас необходим для возможного будущего роста локальной сети предприятия. При наличии силовых кабелей в местах прокладки кабеля стоит выбрать экранированную витую пару. Также стоит проверить заземление на всех ключевых узлах локальной сети, т. к. его отсутсвие может привести в будущем к неприятным последствиям.
Сервера должны быть подключены к ядру сети по высокроизводительным магистралям, например, по 1Gbit Ethernet и выше. Для серверов также возможно кратное увеличение пропускной способности магистралей, если имеется программное обеспечение производителя сетевых адаптеров по агрегированию каналов связи.
Но все это должно быть обосновано на основе данных собранной статистики, а также с учетом дальнейшего расширения отдельных сегментов сети (по возможности).

 
Оставить комментарий

Опубликовал на 17 февраля, 2011 в LAN

 

Метки:

Об использовании сайтов AD в домене MS Windows, а также о доверительных отношениях между доменами.


«Для чего используются доверительные отношения (trusts) в домене MS Windows?» — довольно часто приходится слышать такой вопрос. Доверительные отношения в домене MS Windows используются для возможности сквозной, без ввода дополнительных паролей и данных, атунификации в другом (доверяющем) домене. Что позволяет пользователям прозрачно использовать ресурсы обоих доменов, при этом необходимо отметить, что групповые политики безопасности в обоих доменах индивидуальны (домены-то разные).
Сайтовость (sites) AD в домене MS Windows используется для разграничения прав доступа для нижележащих деревьев (доменов), что может быть использовано для ограничения функционала управления отдельными компонентами AD, DNS, например, у подчиненных доменов. Т. е. сайтовость позволяет увеличить уровень защиты от несогласованных или необдуманных действий системных администраторов нижестоящих подразделений. Лучше выполнить самому какое-либо критичное изменение на вышестоящем уровне для нижестоящего, чем в случае возникновения проблем разбираться в том, что привело к этому или играть в угадайку.

 
Оставить комментарий

Опубликовал на 16 февраля, 2011 в Windows

 

Мониторинг сети по протоколу SNMP.


Довольно часто встречается ситуация, в которой системные администраторы, а иногда и сами руководители ИТ-служб не знают и не подозревают о существовании такого необходимомого инструмента в администрировании локальной сети, как протокол SNMP. SNMP — расшифровывается, как простой протокол управления сетью. Что может дать его использование при администрировании сети: получение информации о «здоровье» локальной сети, СКС, активного сетевого оборудования, а также.. и отдельных хостов (компьютеров). Существует множество графических оболочек, предназначенных для работы с данным протоколом, а я же хочу лишь обозначить путь, по которому необходимо следовать, поэтому выбор гуев оставляю за вами. Как правило такие графические оболочки уже имеют набор стандартных счетчиков для данного протокола, вам остается лишь настроить свое активное сетевое оборудование на разрешение использования протокола SNMP, описать имена используемых сообществ и настроить безопасность для данного протокола, если она поддерживается данным устройством, а также указать хост управления сетью, с которого разрешены подключения по протоколу SNMP. На хосте управления сетью с помощью гуя рекомендую также сделать импорт так называемых информационных баз (mib), которые предназначены конкретно для вашего устройства, это позволит осуществлять расширенный мониторинг, а не только по базовым показателям, доступными по-умолчанию в гуе.
Итак, какую информацию покажет вывод статистики по заданному управляемому сетевому устройству, собранной по протоколу SNMP (в общих чертах):
— объем и количество пакетов транзитного трафика по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
— объем и количество пакетов уникаст, аникаст и броадкаст по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
— изменение загрузки пропускной способности портов коммутатора в заданном временном интервале, с их максимальными и минимальными значениями;
— возможно температуру аппаратных компонентов;
— общее количество потерянных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
— общее количество ошибок переданых/полученных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
— текущее состояние портов коммутатора (включен/выключен), а также статистику стостояний портов коммутатора в заданном временном интервале;
— показывает количество и значения MAC-адресов и IP-адресов на данном порту коммутатора, как общую статистику, так и в заданном временном интервале (не у всех показываются пары MAC-IP, зачастую только MAC);
— и т. д.
В добавок ко всему этому имеется возможность отобразить визульно всю локальную сеть в виде графа, будут отрисованы все коммутаторы, все компьютеры и другое актиное оборудование, подключенное к управляемым коммутаторам. А также имеется возможность отслеживания изменения сети в режиме реального времени (кто, во сколько подключился к сети, отключился от сети, к какому порту коммутатора было инициировано было данное подключение).
Такой богатый функционал и позволяет отслеживать здоровье в локальной сети с ипользованием протокола SNMP и управляемого сетевого оборудования. Как я сказал, клиентами хоста управления могут выступать и обыкновенные рабочие станции, если задействовать и настроить на них поддержку SNMP клиента.
Так, например, наличие большого числа потерянных пакетов на каком-то одном порту коммутатора будет однозначно говорить о проблемах в цепочке сетвевая карта-кабель-порт коммутатора. И будет являться основанием для проверки данной цепочки. Или же, большое количество броадкаст трафика на порту коммутатора может говорить о наличии сетевых проблем у компьютера, подключенного на данный порт (это может оказаться и вирусом). Наличие нескольких MAC-адресов на каком-либо порту коммутатора, при наличии только одного хоста, подключенного к данному порту может говорить о том, что данный сотрудлник занимеатся либо флудингом, либо пытается у кого-то отобрать целевой трафик, например, получить доступ к сети интернет, если прокся разграничивает доступ только по MAC-адресам, а у сотрудника по каким-либо причинам имеются административные права на его компьютер.

Рекомендую под управление активным сетевым оборудованием выделить отдельную VLAN, чтобы никто не смог осуществить атаку на протокол SNMP. И отдельную рабочую станцию. Я бы назвал это обязательным условием.

Хотя некоторые админы и страшаться таких слов, как VLAN, Bridge, Trunk. 😉 Не стоит бояться, уверен, что вам это доставит удовольствие и вы найдете этому достойное применение в организации сети и в своей повседневной работе.

Хочу пожелать вам успехов в использовании данного очень полезного протокола, позволяющего оперативно реагировать на проблемы с локальной сетью и СКС. Удачи! 😉

 
Оставить комментарий

Опубликовал на 16 февраля, 2011 в LAN

 

Метки:

Вакансии задним числом.


Сегодня наткнулся на вакансию, размещенную на одном из интернет-ресурсов нашего города, предназначенного для помощи в поиске работы. Вакансия по моей специальности размещена за декабрь месяц, но тогда и в январе — начале февраля данной вакансии не было на сайте. я теряюсь в догадках, что можно думать в данной ситуации. Получается у нас вакансии не для всех или это баг сайта, на котором была размещена данная вакансия. Если это баг сайта, то почему администрация не озаботилась данным фактом, работодатель-то должен бы был обратить на это внимание и связаться с администрацией сайта.
Каждый день приносит новые сюрпризы в поиске работы в кадровых агенствах и на сайтах в сети интернет. Организации, размещающие ежемесячно одни и те же вакансии, такая вот, как эта, неразбериха на сайте. Хотя и раньше, несколько лет назад была похожая ситуация, было много одних им тех же вакансий, от одних и тех же фирм, появлялись с заметной регулярностью. Спрашивается, а почему таким положением дел не заинтересуется трудовая инспекция? Очевидно, что ситуация какая-то не здоровая. Хотя, может быть, все они знают, но нет прецендента.

Это как с пересортицей товаров в розничной и оптовой торговле, когда в ходе ревизии оказывается, что по деньгам все сходится, а с товарным учетом не состыкуется. Такая несостыковочка объясняется, как правило, жульничиством и воровством работников склада (перегон товара между магазинами или складами, классическая советская схема воровства в системе потребкооперации). Только вот почему-то зачастую потом все это, довольно часто, списывается на весь персонал магазина вцелом. В результате обворованными оказываются простые продавцы, владельцы торговой точки, а работники склада вновь в прибыли. Но и тут варианты тоже могут быть совершенно различные.

 
Оставить комментарий

Опубликовал на 16 февраля, 2011 в Мой блог

 

Метки:

Использование сетевых сканеров для выявления сетевых вирусов.


Использование сетевых сканеров очень облегчает диагностику сети, позволяет выявлять неполадки в работе сетевого обмена, и, что самое интересное, имеет возможность отслеживать появление некоторых недектируемых на текщий момент сетевых вирусов, а также народных умельцев. Для такого детектирования лучше всего установить фильтрацию отображаемого трафика по протоколам http, ftp, p2p, ssh, https, tftp. Другие протоколы можно добавлять по мере необходимости. А внимание стоит обращать на чатоту появления тех или иных дубликатов трафика на незнакомые ресурсы, например, обращение на ресурс http://www.pornobot.en, будет выглядеть как минимум подозрительным (для удобства можно сделать сортировочку по однотипному трафику, так будет более наглядно). Как и подозрительным будет использование протоколов ssh, tftp, ftp, p2p. В качестве сетевых сканеров рекомендую использовать CommView (Windows, платный) и Wireshark (Linux, бесплатный). Есть и другие применения сетевых сканеров для диагностики здоровья сети. Но об этом расскажу в другой статье.

 
Оставить комментарий

Опубликовал на 16 февраля, 2011 в LAN

 

Метки:

Изоляция доменов на платформах MS Windows Server и не только ;-) .


Для более полного представления о данной технологии советую обратиться по следующим ссылкам:
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx

Я хочу добавить немного к данной информации.
Ввиду того, что есть возможность изоляции не только доменов, серверов, компьютеров, не входящих в домен. Есть и возможность по изоляции компьютеров, входящих в существующий домен MS Windows. Скажите, а для чего это может понадобиться? Например, для изоляции копьютеров, входящих в домен MS Windows, которые оказались заражены сетевым вирусом (червем), но которым необходим доступ к некоторым ресурсам домена. Не совсем безопасно, правда? Но зато, мы оградим остальные компьютеры сети от прямого взаимодействия с зараженным рабочим местом. Кроме того, всегда существует возможность оградить данный компьютер и физически, заставив его работать через выделенную станцию безопасности, например, как через шлюз, которая, в свою очередь, станет блокировать нежелательный трафик. Всё это довольно гибко можно настроить на чёрный день с помощью политик безопасности AD (GPO), а затем, по мере необходимости, добавлять в данную политику хосты, нуждающиеся в изоляции. Не стоит также забывать и о возможности фильтрации трафика по портам с использованием IPSec, т. к. это может защитить от некоторых типов сетевых вирусов, которые используют для своей работы несистемные порты. Но, к сожалению, таких возможностей современнные вирусы оставляют все меньше. Да и повсеместно IT-службами подразделениями все еще используется протокол NetBIOS для публикации общих ресурсов в сети, что пагубно влияет на защищенность хостов в локальной сети. А можно же было использовать возможности AD для публикации в каталоге AD, тогда бы количество используемых системный портов на хостах в сети несколько сократилось, увеличились бы системные ресурсы из отказа от использования лишних сервисов, стало бы невозможным заражение некоторыми сетевыми вирусами и сделало бы невозможным атаки на протокол NetBIOS. Да, для критиков, в такую политику организации домена можно добавить и исключения из правил, для серверов печати, например.

Добавлю от себя еще, что данные возможности уже присутствовали с платформы MS Windows 2000, но на них никто не обращал внимания, либо не хотел изучать новые возможности по улучшению уровня безопасности в сети MS Windows, да мало ли еще почему. И до сих пор данные возможности мало кто использует.

Автор данных строк уже использовал возможности по изоляции доменов в своей работе еще в 2004 году, но затем мне не встречались организации, которые хотели бы улучшить информационную безопасность и упростить реагирование на те или иные инцинденты информационной безопасности, хотя предложения мною вносились и я ознакамливал руководство с данной технологией. А жаль! Не нужно топтаться на месте, необходимо развивать инфраструктуру и полностью использовать возможности, предлагаемые производителем данных платформ — Microsoft, а не искать несертифицированные и сомнительные решения сторонних производителей, которые, как правило, не бесплатны и требуют дополнительных финансовых ассигнований.

Небольшое дополнение к данной статье. Изоляцию доменов можно реализовать с использованием IPSec, без установки дополнительных компонентов, как это советует Microsoft, работать будет без проблем. Жаль, что об этом нет упоминания на сайте техподдержки Microsoft, возможно, о такой возможности они и не подумали? 😉 Удачи!

 
Оставить комментарий

Опубликовал на 16 февраля, 2011 в Windows

 

Метки: , , , , , ,

Роутер D-link DSL-2640U


Немного хочу рассказать про аппаратные особенности роутера компании D-link DSL-2640U. Весьма неплохой роутер, но есть одна неприятность — сильно греется. Как результат излишней теплоотдачи у меня некоторое время назад «высохли» три конденсатора (2 — 2200 mF 25 V, 1 — 470 mF 16 V). В результате чего роутер стал при включении постоянно перезагружаться по несколько раз подряд в течение минут 4-х — 5-ти. Произвел замену конденскаторов на 2 — 2200 mF 35V, 1 — 470 mF 25 V, кроме этого взял со старой системы охлаждения видеокарты 2-ва медных радиатора охлаждения микросхем памяти дискретки и с помощью термоклея приклеил их, на предварительно обезжиренную поверхность 2-х микрух роутера. При первом же включении роутер заработал, температурный режим значительно улучшился, теперь верхняя крышка роутера не греется так ощутимо, как ранее.
Встречал в других болгах упоминание о создании принудительного охлаждения для схожих моделей роутера, но не счел нужным прибегать к таким кардинальным изменениям. Да и лишний шум ни к чему.

 
Оставить комментарий

Опубликовал на 16 февраля, 2011 в D-link

 
 
%d такие блоггеры, как: