RSS

Архив за день: Февраль 16, 2011

Об использовании сайтов AD в домене MS Windows, а также о доверительных отношениях между доменами.


«Для чего используются доверительные отношения (trusts) в домене MS Windows?» — довольно часто приходится слышать такой вопрос. Доверительные отношения в домене MS Windows используются для возможности сквозной, без ввода дополнительных паролей и данных, атунификации в другом (доверяющем) домене. Что позволяет пользователям прозрачно использовать ресурсы обоих доменов, при этом необходимо отметить, что групповые политики безопасности в обоих доменах индивидуальны (домены-то разные).
Сайтовость (sites) AD в домене MS Windows используется для разграничения прав доступа для нижележащих деревьев (доменов), что может быть использовано для ограничения функционала управления отдельными компонентами AD, DNS, например, у подчиненных доменов. Т. е. сайтовость позволяет увеличить уровень защиты от несогласованных или необдуманных действий системных администраторов нижестоящих подразделений. Лучше выполнить самому какое-либо критичное изменение на вышестоящем уровне для нижестоящего, чем в случае возникновения проблем разбираться в том, что привело к этому или играть в угадайку.

Реклама
 
Оставить комментарий

Опубликовал на Февраль 16, 2011 в Windows

 

Мониторинг сети по протоколу SNMP.


Довольно часто встречается ситуация, в которой системные администраторы, а иногда и сами руководители ИТ-служб не знают и не подозревают о существовании такого необходимомого инструмента в администрировании локальной сети, как протокол SNMP. SNMP — расшифровывается, как простой протокол управления сетью. Что может дать его использование при администрировании сети: получение информации о «здоровье» локальной сети, СКС, активного сетевого оборудования, а также.. и отдельных хостов (компьютеров). Существует множество графических оболочек, предназначенных для работы с данным протоколом, а я же хочу лишь обозначить путь, по которому необходимо следовать, поэтому выбор гуев оставляю за вами. Как правило такие графические оболочки уже имеют набор стандартных счетчиков для данного протокола, вам остается лишь настроить свое активное сетевое оборудование на разрешение использования протокола SNMP, описать имена используемых сообществ и настроить безопасность для данного протокола, если она поддерживается данным устройством, а также указать хост управления сетью, с которого разрешены подключения по протоколу SNMP. На хосте управления сетью с помощью гуя рекомендую также сделать импорт так называемых информационных баз (mib), которые предназначены конкретно для вашего устройства, это позволит осуществлять расширенный мониторинг, а не только по базовым показателям, доступными по-умолчанию в гуе.
Итак, какую информацию покажет вывод статистики по заданному управляемому сетевому устройству, собранной по протоколу SNMP (в общих чертах):
— объем и количество пакетов транзитного трафика по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
— объем и количество пакетов уникаст, аникаст и броадкаст по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
— изменение загрузки пропускной способности портов коммутатора в заданном временном интервале, с их максимальными и минимальными значениями;
— возможно температуру аппаратных компонентов;
— общее количество потерянных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
— общее количество ошибок переданых/полученных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
— текущее состояние портов коммутатора (включен/выключен), а также статистику стостояний портов коммутатора в заданном временном интервале;
— показывает количество и значения MAC-адресов и IP-адресов на данном порту коммутатора, как общую статистику, так и в заданном временном интервале (не у всех показываются пары MAC-IP, зачастую только MAC);
— и т. д.
В добавок ко всему этому имеется возможность отобразить визульно всю локальную сеть в виде графа, будут отрисованы все коммутаторы, все компьютеры и другое актиное оборудование, подключенное к управляемым коммутаторам. А также имеется возможность отслеживания изменения сети в режиме реального времени (кто, во сколько подключился к сети, отключился от сети, к какому порту коммутатора было инициировано было данное подключение).
Такой богатый функционал и позволяет отслеживать здоровье в локальной сети с ипользованием протокола SNMP и управляемого сетевого оборудования. Как я сказал, клиентами хоста управления могут выступать и обыкновенные рабочие станции, если задействовать и настроить на них поддержку SNMP клиента.
Так, например, наличие большого числа потерянных пакетов на каком-то одном порту коммутатора будет однозначно говорить о проблемах в цепочке сетвевая карта-кабель-порт коммутатора. И будет являться основанием для проверки данной цепочки. Или же, большое количество броадкаст трафика на порту коммутатора может говорить о наличии сетевых проблем у компьютера, подключенного на данный порт (это может оказаться и вирусом). Наличие нескольких MAC-адресов на каком-либо порту коммутатора, при наличии только одного хоста, подключенного к данному порту может говорить о том, что данный сотрудлник занимеатся либо флудингом, либо пытается у кого-то отобрать целевой трафик, например, получить доступ к сети интернет, если прокся разграничивает доступ только по MAC-адресам, а у сотрудника по каким-либо причинам имеются административные права на его компьютер.

Рекомендую под управление активным сетевым оборудованием выделить отдельную VLAN, чтобы никто не смог осуществить атаку на протокол SNMP. И отдельную рабочую станцию. Я бы назвал это обязательным условием.

Хотя некоторые админы и страшаться таких слов, как VLAN, Bridge, Trunk. 😉 Не стоит бояться, уверен, что вам это доставит удовольствие и вы найдете этому достойное применение в организации сети и в своей повседневной работе.

Хочу пожелать вам успехов в использовании данного очень полезного протокола, позволяющего оперативно реагировать на проблемы с локальной сетью и СКС. Удачи! 😉

 
Оставить комментарий

Опубликовал на Февраль 16, 2011 в LAN

 

Метки:

Вакансии задним числом.


Сегодня наткнулся на вакансию, размещенную на одном из интернет-ресурсов нашего города, предназначенного для помощи в поиске работы. Вакансия по моей специальности размещена за декабрь месяц, но тогда и в январе — начале февраля данной вакансии не было на сайте. я теряюсь в догадках, что можно думать в данной ситуации. Получается у нас вакансии не для всех или это баг сайта, на котором была размещена данная вакансия. Если это баг сайта, то почему администрация не озаботилась данным фактом, работодатель-то должен бы был обратить на это внимание и связаться с администрацией сайта.
Каждый день приносит новые сюрпризы в поиске работы в кадровых агенствах и на сайтах в сети интернет. Организации, размещающие ежемесячно одни и те же вакансии, такая вот, как эта, неразбериха на сайте. Хотя и раньше, несколько лет назад была похожая ситуация, было много одних им тех же вакансий, от одних и тех же фирм, появлялись с заметной регулярностью. Спрашивается, а почему таким положением дел не заинтересуется трудовая инспекция? Очевидно, что ситуация какая-то не здоровая. Хотя, может быть, все они знают, но нет прецендента.

Это как с пересортицей товаров в розничной и оптовой торговле, когда в ходе ревизии оказывается, что по деньгам все сходится, а с товарным учетом не состыкуется. Такая несостыковочка объясняется, как правило, жульничиством и воровством работников склада (перегон товара между магазинами или складами, классическая советская схема воровства в системе потребкооперации). Только вот почему-то зачастую потом все это, довольно часто, списывается на весь персонал магазина вцелом. В результате обворованными оказываются простые продавцы, владельцы торговой точки, а работники склада вновь в прибыли. Но и тут варианты тоже могут быть совершенно различные.

 
Оставить комментарий

Опубликовал на Февраль 16, 2011 в Мой блог

 

Метки:

Использование сетевых сканеров для выявления сетевых вирусов.


Использование сетевых сканеров очень облегчает диагностику сети, позволяет выявлять неполадки в работе сетевого обмена, и, что самое интересное, имеет возможность отслеживать появление некоторых недектируемых на текщий момент сетевых вирусов, а также народных умельцев. Для такого детектирования лучше всего установить фильтрацию отображаемого трафика по протоколам http, ftp, p2p, ssh, https, tftp. Другие протоколы можно добавлять по мере необходимости. А внимание стоит обращать на чатоту появления тех или иных дубликатов трафика на незнакомые ресурсы, например, обращение на ресурс http://www.pornobot.en, будет выглядеть как минимум подозрительным (для удобства можно сделать сортировочку по однотипному трафику, так будет более наглядно). Как и подозрительным будет использование протоколов ssh, tftp, ftp, p2p. В качестве сетевых сканеров рекомендую использовать CommView (Windows, платный) и Wireshark (Linux, бесплатный). Есть и другие применения сетевых сканеров для диагностики здоровья сети. Но об этом расскажу в другой статье.

 
Оставить комментарий

Опубликовал на Февраль 16, 2011 в LAN

 

Метки:

Изоляция доменов на платформах MS Windows Server и не только ;-) .


Для более полного представления о данной технологии советую обратиться по следующим ссылкам:
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx

Я хочу добавить немного к данной информации.
Ввиду того, что есть возможность изоляции не только доменов, серверов, компьютеров, не входящих в домен. Есть и возможность по изоляции компьютеров, входящих в существующий домен MS Windows. Скажите, а для чего это может понадобиться? Например, для изоляции копьютеров, входящих в домен MS Windows, которые оказались заражены сетевым вирусом (червем), но которым необходим доступ к некоторым ресурсам домена. Не совсем безопасно, правда? Но зато, мы оградим остальные компьютеры сети от прямого взаимодействия с зараженным рабочим местом. Кроме того, всегда существует возможность оградить данный компьютер и физически, заставив его работать через выделенную станцию безопасности, например, как через шлюз, которая, в свою очередь, станет блокировать нежелательный трафик. Всё это довольно гибко можно настроить на чёрный день с помощью политик безопасности AD (GPO), а затем, по мере необходимости, добавлять в данную политику хосты, нуждающиеся в изоляции. Не стоит также забывать и о возможности фильтрации трафика по портам с использованием IPSec, т. к. это может защитить от некоторых типов сетевых вирусов, которые используют для своей работы несистемные порты. Но, к сожалению, таких возможностей современнные вирусы оставляют все меньше. Да и повсеместно IT-службами подразделениями все еще используется протокол NetBIOS для публикации общих ресурсов в сети, что пагубно влияет на защищенность хостов в локальной сети. А можно же было использовать возможности AD для публикации в каталоге AD, тогда бы количество используемых системный портов на хостах в сети несколько сократилось, увеличились бы системные ресурсы из отказа от использования лишних сервисов, стало бы невозможным заражение некоторыми сетевыми вирусами и сделало бы невозможным атаки на протокол NetBIOS. Да, для критиков, в такую политику организации домена можно добавить и исключения из правил, для серверов печати, например.

Добавлю от себя еще, что данные возможности уже присутствовали с платформы MS Windows 2000, но на них никто не обращал внимания, либо не хотел изучать новые возможности по улучшению уровня безопасности в сети MS Windows, да мало ли еще почему. И до сих пор данные возможности мало кто использует.

Автор данных строк уже использовал возможности по изоляции доменов в своей работе еще в 2004 году, но затем мне не встречались организации, которые хотели бы улучшить информационную безопасность и упростить реагирование на те или иные инцинденты информационной безопасности, хотя предложения мною вносились и я ознакамливал руководство с данной технологией. А жаль! Не нужно топтаться на месте, необходимо развивать инфраструктуру и полностью использовать возможности, предлагаемые производителем данных платформ — Microsoft, а не искать несертифицированные и сомнительные решения сторонних производителей, которые, как правило, не бесплатны и требуют дополнительных финансовых ассигнований.

Небольшое дополнение к данной статье. Изоляцию доменов можно реализовать с использованием IPSec, без установки дополнительных компонентов, как это советует Microsoft, работать будет без проблем. Жаль, что об этом нет упоминания на сайте техподдержки Microsoft, возможно, о такой возможности они и не подумали? 😉 Удачи!

 
Оставить комментарий

Опубликовал на Февраль 16, 2011 в Windows

 

Метки: , , , , , ,

Роутер D-link DSL-2640U


Немного хочу рассказать про аппаратные особенности роутера компании D-link DSL-2640U. Весьма неплохой роутер, но есть одна неприятность — сильно греется. Как результат излишней теплоотдачи у меня некоторое время назад «высохли» три конденсатора (2 — 2200 mF 25 V, 1 — 470 mF 16 V). В результате чего роутер стал при включении постоянно перезагружаться по несколько раз подряд в течение минут 4-х — 5-ти. Произвел замену конденскаторов на 2 — 2200 mF 35V, 1 — 470 mF 25 V, кроме этого взял со старой системы охлаждения видеокарты 2-ва медных радиатора охлаждения микросхем памяти дискретки и с помощью термоклея приклеил их, на предварительно обезжиренную поверхность 2-х микрух роутера. При первом же включении роутер заработал, температурный режим значительно улучшился, теперь верхняя крышка роутера не греется так ощутимо, как ранее.
Встречал в других болгах упоминание о создании принудительного охлаждения для схожих моделей роутера, но не счел нужным прибегать к таким кардинальным изменениям. Да и лишний шум ни к чему.

 
Оставить комментарий

Опубликовал на Февраль 16, 2011 в D-link

 
 
%d такие блоггеры, как: