RSS

Архив за день: 2012/05/11

Тонкая настройка клиентов менеджера лицензий HASP.


Ниже приводится листинг файла nethasp.ini для клиентов HASP-сервера:

; Данный листинг с пояснениями создан для помощи в администрировании начинающим специалистам.
; Данный файл выкладывается в каталог %systemroot%\system32, если на компьютере есть только одна программа,
; работающая с HASP-серверами. Если программ несколько, например, 1С, Компас 3D, T-Flex, T-Doc`s, то выкладываем данные файлы
; в каталог из которого данные программы запускаются….
; Прошу обратить особое внимание на параметры NH_SESSION и NH_SEND_RCV, т.к. данные параметры позволяют нам
; не только обезопасить пользователей и себя от кратковременных сбоев в сети, но несколько smile;-) увеличить число рабочих
; станций работающих с сервером лицензирования без нарушения условий лицензирования, при соответсвующей модификации штатными средствами операционной системы того или иного сетевого стека, но об этом позже…
; Хочу сказать, что для больших контор это будет довольно хорошая экономия денег….
; Еще раз обращаю внимание на мой топик по поводу настройки nhsrv.ini «HASP-сервер с одним сетевым адаптером на несколько IP (подсетей) «,
; в котором есть такие строки NHS_USE_UDP = enabled ;-разрешить UDP и NHS_USE_TCP = enabled ;-разрешить TCP
; именно оба протокола необходимо разрешить на HASP-сервере и не беда, что в мониторе HAPS-ключа будет отображаться UDP метод,
; на самом деле будет работать по TCP… Спросите почему? Думаю, что такой вопрос нужно задать экспертам…
; Кроме того, если порулить групповыми политиками в домене и шаблонами безопасности на HASP-сервере, то можно добиться значительно
; большего количества клиентов без нарушения лицензирования ПО, процентов на 25%, как минимум….
[NH_COMMON]
NH_IPX = Disabled ; <— Здесь запрещаем использовать протокол IPX
NH_NETBIOS = Disabled ; <— Здесь запрещаем использовать протокол NetBIOS, лишний трафик нам ни к чему
NH_TCPIP = Enabled ; <— Здесь разрешает использовать протокол TCP/IP
NH_SESSION = 15 ; <— Продолжительность сессии с HASP-сервером в секундах
NH_SEND_RCV = 30 ; <— Продолжительность попыток, в секундах, поиска HASP сервера в сети

[NH_NETBIOS] ; NetBIOS отключен, да и не к чему он собственно.
;NH_NBNAME = 11tf1
;NH_SESSION = 30
;NH_SEND_RCV = 10

[NH_TCPIP]
NH_SERVER_ADDR = 172.16.88.48, 172.16.2.248 ; <— Адреса HASP-серверов
;NH_SERVER_NAME = 11tf1
NH_TCPIP_METHOD = TCP ; Протокол используемый клиентом для работы с HASP-сервером
NH_USE_BROADCAST = Disabled ; <— Запрещаем использование широковещательного запроса, т. к. лишний трафик нам в сети ни к чему
NH_SESSION = 15
NH_SEND_RCV = 30

; Отключение броадкастов и жестская привязка на IP адрес дает и еще очень важный момент, если в сети используется несколько HASP-серверов….
; В данном случае наш клиент уже не будет подключаться к первому попавшемуся менеджеру лицензий, а обязательно найдет «свой» сервер…

;Знания и труд – горы перетрут…..
; Буду рад, если мои советы помогут вам в решении ваших проблем…
; Копилка знаний должна копиться… Удачи всем…

; Это перепост моей статьи с сайта aladdin.ru, сейчас данный пост можно найти по адресу: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=284

Реклама
 

Метки: , , , , , ,

Настройка HASP сервера на несколько подсетей с одним сетевым адаптером.


Добрый день, хочу поделиться опытом по настройке HASP-сервера на одном сетевом адаптере, привязанном к нескольким IP.

Описание настроек HASP-сервера

В настройках сети удаляем службу доступа к файлам и принтерам для сетей Microsoft, затем отключаем службу сервера (если у нас нет общих ресурсов и станция для HASP сервера у нас выделенная), тем самым обходим ограничения на подлючение к ресурсам IPC и Server (было по 10), что применительно к не серверным продуктам операционных систем от корпорации Microsoft.
Далее прописываем необходимые IP-адреса для сетевого адаптера, например, 172.16.88.48 по маске 255.255.255.0 и 172.16.2.248 по маске 255.255.240.0, адреса шлюза и DNS-серверов, WINS-серверов оставляем не заполненными (лишние проблемы со зловредами /материальными и нематериальными/ нам ни к чему). Отключаем NetBios over TCP/IP. Отключаем службу Net-BIOS
Присваиваем компьютеру имя одинаковое (не обязательно) с HASP-ключом, имя группы, в которую входит данный компьютер, обозначаем одноименно с ведущим доменом, например, ORG (рекомендую HASP-сервер не включать ни в один из доменов).
Для установки HASP-сервера необходимо установить HASP_LM_setup.zip версии не ниже 5 для USB ключа и версии не ниже 4 для LPT ключа.
При установке драйвера ключа выбираем инсталляцию в качестве сервиса.
После установки необходимо скопировать из каталога, куда установились доплнительные программы HASP-сервера, файл nhsrv.ini в системный каталог
%systemroot%\system32 , после чего данный файл необходимо отредактировать, например:

[NHS_SERVER]
NHS_USERLIST = 250
NHS_SERVERNAMES = key1-1 ;-имя сервера
NHS_HIGHPRIORITY = yes ;-использовать высокий приоритет для HASP-сервера

[NHS_IP]
NHS_USE_UDP = enabled ;-разрешить UDP ***
NHS_USE_TCP = enabled ;-разрешить TCP ***
NHS_IP_portnum = 475 ;-используемый порт, как ни старался, получить рабочую конфу с другим портом не выходит. Может кто поделится опытом?
;NHS_IP_LIMIT = 10.24.2.18-99, 10.1.1.9/16, 10.25.0.0/24, ;-указываем диапазоны IP-адресов, с которых разрешен доступ

[NHS_IPX]
NHS_USE_IPX = disabled ; запрещаем IPX, остальное так же закомментируем
;NHS_addrpath = c:\temp ; pathname for haspaddr.dat (default: current dir)
;NHS_AppendAddr = no ; append to haspaddr.dat (default: replace)
;NHS_usesap = enabled ; enabled or disabled (default: enabled)
;NHS_ipx_socketnum = 0×7483 ; IPX socket number (default: 0×7483)

[NHS_NETBIOS]
NHS_USE_NETBIOS = disabled ; запрещаем использование NetBIOS, остальное также закомметируем
;NHS_NBNAME = tf88 ; use another than predefined NetBios name
; CAUTION: clients must use the same name !
;NHS_use_lana_nums = 3,0,7,2 ; default = all (automatic) – Номера используемых областей NetBIOS

Для вступления данных настроек в силу необходимо перезапустить в менеджере служб службу «HASP Loader».
В виду того, что у сервера HASP имеется нестабильность в работе, предположительно не корректно собирается мусор в памяти, что особенно характерно для LPT ключа, за USB ключом такое пока не наблюдалось; необходимо добавить в планировщик заданий запуск задания по расписанию, через каждые 10-15, на перезапуск службы «HASP Loader» (данный интервал может быть уменьшен). Данное задание исполняем в виде коммандного файла для Windows NT и добавляем его в планировщик.
Содержание коммандного файла на перезапуск данной слжбы:

net stop «HASP Loader»
net start «HASP Loader»

На компьютере HASP-сервера отключаем лишние службы, например, средства удаленного редактирования реестра и Telnet. Отключаем все порты на вкладке IP фильрации сетевого адаптера, разрешаем там же только подключения на порт 475 по протоколу TCP! Так мы обезопасим себя от зловредов (виртуальных и материальных 😉 ).
Внимание для пользователей антивируса Касперского!
За данным антивирусом замечено не совсем однозначное поведение в отношении HASP-сервера, поэтому рекомендую его отключить. Это будет вполне безопасно, т. к. у нас работает (открыт) только один порт, который слушает только TCP. Замечу, что еще не встречал сетевых вирусов, эксплуатирующих какую-либо уязвимость на данном порту и данного сервиса (HASP LM).

*** – Включение протоколов TCP и UDP в настройках HASP сервера нам необходимо для того, чтобы клиент HASP сервера мог соединяться с ним по протоколу TCP, Странно на первый взгляд, не так ли? Но практика показывает, что только при включении обоих опций клиенты смогут работать по протоколу TCP. Такой вот баг HASP сервера. А лишний трафик по протоколу UDP нам в сети ни к чему (не забываем отключать входящие подключения, как описано выше, на вкладке фильтрации сетевого адаптера).
В ближайшее время обещаю поделиться твиком об увеличении количества подключаемых клиентов к HASP серверу, без нарушения лицензионного соглашения.

Данная статья уже размещена мною на сайте alladin`a: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=63 и данную статью трудно найти, поэтому я решил опубликовать её ещё раз. Кроме того, после смены движка форума на Aladdin.ru, я почему-то не могу зайти на форум под своим именем и паролем.

 

Метки: , , , , , , ,

Немного о прямом доступе к диску.


Существует такая замечательная возможность, как прямой доступ к жесткому диску компьютера, в обход BIOS материнской платы. Данную возможность предоставляют множество программ (программы разбиения дисков, низкоуровнего форматирования, криптоваяния, безопасного затирания информации и многие другие). Не все имеют представление, зачем может понадобиться такая возможность.
Приведу лишь один пример использования данной технологии.
Не так давно столкнулся в одной организации с тем, что BIOS моего компьютера оказался нестандартным, такого BIOS с такой хэш суммой не было даже на сайте производителя. Посмотрев описания компонентов компьютера нашел материнскую плату с такими же компонентами и скачал соответствующий BIOS. Затем попытался перепрошить полностью (заменить) BIOS своей материнской платы. Прошивка прошла успешно, компьютер перезагрузил. Все работало. Но мне давала покой одна небольшая проблемка, в BIOS оказались неперезаписываемы некоторые блоки (таблицы) Flash-памяти. 😉 Если посмотреть на описания на данный тип BIOS (можно найти в интернет), то окажется, что часть данных блоков (таблиц) отвечали за работу контроллера HDD материнскрой платы. После довольно длительных раздумий я решил сравнить информацию BIOS о HDD контроллера материнской платы и информацию о HDD при прямом доступе к HDD. HDD был по информации BIOS на 80 Gb. Для получения доступа к жесткому диску компьютера я воспользовался последовательно программами низкоуровневого форматирования, затирания информации по ГОСТу и программой разбиения диска на разделы.
Результат меня удивил. Оказалось, что жесткий диск на моем компьютере не на 80 Gb, как информировал BIOS, а на 160 Gb.
Решил проверить свои умозаключения по данному поводу в беседе со специалистами в данной области.
Немного пообщавшись в интернет, я выяснил, что имеется возможность для дублирования информации между видимой частью, которую выдавал BIOS, и другой частью, которая была доступная только при прямом доступе к диску.

Вот такая история. Поэтому следует обращать внимание не только на программную защиту, но и проверять программно-аппаратные компоненты вашего компьютера.

Надеюсь, что мой опыт окажется кому-то полезным. Удачи! 😉

 

Метки: , , , , , , ,

Ловим сниферы.


Не буду лишний раз описывать теоретические и практические аспекты обнаружения сниферов в сетях, советую, для начала, обратиться к статье: http://www.xakep.ru/magazine/xa/079/046/1.asp

Довольно неплохая статья, но в статье описывается способ выявления сниферов в сети для известного диапазона IP адресов нашей подсети. Могу добавить, что алгоритмы, описанные в данной статье, возможно реализовать с помощью тех возможностей скриптинга, которые предоставляет та или иная операционная система. А что делать, если снифер,например, запущен на интерфейсе не принадлежащем валидному IP диапазону нашей подсети? Для этого необходимо подходить комплексно к задаче информационной безопасности вашей сети. В этом помогут все те алгоритмы и способы, которые мною приводились ранее.

 

Метки: ,

Генераторы пакетов. Добро или зло? ;-)


Генератор пакетов – это программа, позволяющая создавать произвольным образом сформированные пакеты различных уровней, исключая физический, согласно модели OSI. Всего уровней в OSI – семь (физический, канальный, сетевой, транспортный, сеансовый, представительский, прикладной).
Генератор пакетов, пожалуй, одна из самых малодокументированных и, в то же время, функциональных программ, которые доступны системным администраторам, сетевым инженерам или специалистам, расследующим те или иные инциденты информационной безопасности в сетях. На это есть масса причин. Одна из таких причин – при умелом использовании и достаточно глубоком знании отдельных (или всех/О, чудо!/) протоколов, входящих в модель OSI, результатом работы генератора пакетов могут стать деструктивные явления в сети, вплоть до краха атакуемого узла, недоступности сегмента сети или вывода из строя атакуемого сервиса. В то же время генераторы пакетов применяются и для антихакинга, выявления компьютерных хулиганов в вычислительных и иных сетях.
У палки, как говорится, всегда 2 конца (и одна середина). 😉

 

Метки: , , , , , ,

Сказка ложь, да в ней намёк! :-)


Довольно долго “гуляет” в дебрях всемирной паутины теоретическое и практической обоснование о возможности перехвата TCP сессии. Для этого предлагается угадать и воспользоваться угаданным идентификатором передаваемого пакета в ходе сессии TCP. Довольно занятный алгоритм! “Сильный” алгоритм! Так его хвалят авторы и прочие “небожители”, “властители вселенной” и “крутые” кибергопники.
В жизни всё гораздо проще. Нет необходимости в такого рода извращениях. Если повнимательнее перечитать RFC по TCP/IP версий 4 и 6, то можно будет заметить, что есть и более простое решение. Причем, данный баг (не только он один) почему-то перекочевал из 4-й версии протокола в 6-ю, а мне помнится, что открытое сообщество чуть ли не с десяток лет выступало против такого “дружеского” рукопожатия протоколов 4-й и 6-й версии. Для устарнения данных недостатков даже разрабатывалось специальное самостоятельное ответвление протокола 4-й версии, принципы и алгоритмы работы которого затем предпологалось перенести в 6-ю версию протокола TCP/IP.
Но, видимо, кому-то понадобилось перенести баги протокола четвертой версии в шестую. Когда что-то случается один раз – это случайность, когда повторяется два и более раз – это уже закономерность. 😉

Сказка ложь, да в ней намёк! 🙂

 

Метки: ,

Шифрование текстовых сообщений с помощью GPG (GnuPG)


Защита конфиденциальной информации периодически востребована всеми, кто пользуется электронной почтой и хранит документы на своем компьютере, т.е. практически каждый современный человек хоть раз, но сталкивался с проблемой защиты передавемых или хранимых данных.

Для защиты информации (с возможностью ее передачи по электронной почте или на физическом носителе) от чужих глаз используется несколько основных методик:

криптоконтейнеры
зашифрованные файлы
зашифрованные сообщения, передаваемые в открытом текстовом сообщении

Также используют скрытые контейнеры, но я не представляю себе, как передать по почте скрытый криптоконтейнер. И еще – никто не возбраняет использовать несколько методик одновременно, например, зашифровать текстовое сообщение, поместить его в текстовый файл, файл зашифровать, поместить в другой криптоконтейнер, который и передавать по электронной почте (вариант с хранением смерти Кощея Бессмертного).

Использование криптоконтейнеров уже рассматривалось на нашем сайте на странице TrueCrypt.

Мы же кратко рассмотрим использование GnuPG как средство шифрования текстовых сообщений.

Итак, GnuPG.

Веб-сайт http://www.gpg4win.org/
Распространение бесплатно
OS Windows (2000/XP/2003/Vista)

Установка GPG

Скачиваем, устанавливаем. После установки при первом запуске программа предлагает сгенерировать ключ для подписывания/шифрования информации. Соглашаемся, вводим необходимую информацию, программа сгенерирует пару секретного/открытого ключей. Открытым ключом сообщения подписываются и/или шифруются (этот ключ можно отправить вашему другу, который будет посылать вам секретные письма!), а расшифровываются они только закрытым ключем, который есть только у вас. Все, установка закончена.

Шифрование текста

Запускаем “Пуск – Программы – GnuPG for Windows – WinPT” (Windows Privacy Tray).

Рядом с часами внизу экрана появиось изображение ключа с символом “@”. Так, программа запущена.

Теперь откроем блокнот, напишите в нем что-либо и скопируйте в буфер обмена. Для примера, пусть это будет слово “test” (без кавычек). Теперь правой мышкой на значке WinPT – Clipboard – Encrypt. Появится окно, в котором вы должны выбрать, каким ключом будете шифровать секретный текст “test”. Выбрали ключ, нажали “Ok”. Все, программа зашифровала текст из буфера обмена с помощью вашего ключа и поместила результат шифрования в буфер обмена. Теперь вы можете вставить в блокноте содержимое буфера обмена. У меня это выглядит так:

—–BEGIN PGP MESSAGE—–
Version: GnuPG v1.4.7 (MingW32) – WinPT 1.2.0
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=1MaX
—–END PGP MESSAGE—–

Весь этот текст (включая заголовки —–BEGIN PGP MESSAGE—– и —–END PGP MESSAGE—–), можно теперь спокойно переслать по элетронной почте в отрытом виде (более открытого вида и не придумать!) кому угодно. Без вашего секретного ключа и пароля этот текст расшифровать невозможно.

Расшифровка шифровки

Для расшифровки вашего зашифрованного сообщения необходим секретный ключ из пары открытого/секретного ключей, которым было зашифровано сообщение. Каждый из виртуальных собеседников создает свою пару открытого/секретного ключей и спокойно обменивается открытыми ключами друг с другом (хоть по обычной электронной почте). Если один захочет написать секретное сообщение другому, то просто зашифрует письмо не своим ключом, а открытым ключом получателя. Получатель же, когда получит письмо, сможет расшифровать его своим секретным ключом и паролем, который останется известным только ему.

Итак, при личной встрече мы лично передали секретный ключ и пароль нашему получателю. Ок, теперь, используя мастер импорта ключей, наш получатель сможет импортировать полученный ключ в его копию программы GnuPG и сможет расшифровать полученное от вас сообщение следующим образом (считаем, что ключ импортирован):

Копируем полученное зашифрованное сообщение в буфер обмена
Правой кнопкой на пиктограмме WinPT – Clipboard – Decrypt/Verify
Программа попросит ввести пароль ключа и расшифрованное сообщение поместит в буфер обмена

Напомню, что копировать шифрованный текст необходимо полностью, от —–BEGIN … и до END PGP MESSAGE—–

Вот собственно, и все. К плюсам данного метода шифрования сообщений можно отнести то, что сообщения можно не только шифровать, но и подписывать, при этом, если разместите на вашем веб-сайте ваш публичный ключ (а не в коем случае не секретный), то любой сможет отправить вам подписанное и/или зашифрованное сообщение, прочитать которое сможете только вы (если секретный ключ есть только у вас).

В заключение могу сказать, что программа GPG позволяет не только шифровать текстовые сообщения, но позволяет также шифровать целые файлы, причем шифрование можно совершать не используя ваш ключ, а просто парольной фразой. Это может быть необходимо для передачи вашему будущему собеседнику вашего секретного ключа. Но это уже тема отдельной статьи.

С уважением,
Иванов Илья,

http://bozza.ru

Спасибо, Илья, неплохая статья, будет в самый раз для индивидуалистов и для начала понимания принципов работы с PGP (GPG). 😉

 

Метки: , , , ,

Самый дорогой хакерский софт


Продажа хакерского ПО – это рынок с оборотами в сотни миллионов долларов в год. В последнее время набирает популярность вид хакерских услуг, при котором вредоносный софт работает не на непосредственного создателя, а продается через третьих лиц заказчику и выполняет именно его цели. Что на порядок осложняет раскрытие преступлений в сфере IT технологий и привлекает крупные финансовые потоки «обычного» криминала. Спрос рождает предложение – цена на качественные хакерские услуги с каждым годом растёт. По предварительным оценкам количество хакерских продуктов в 2007 году достигло 70 000 наименований (по версии компании информационной безопасности Secure Computing). Большинство из них – узкоспециализированные программы, которые не пользуются большой популярностью и распространяются лишь среди спецов «чёрного» IT, время от времени промышляющих хакингом. Парадоксально, но факт: на чёрном рынке хакерская программа стоит тем дороже, чем проще ей пользоваться. Вызвано это тем, что самые дорогие программы ориентированы не на других хакеров, а на крупных бизнес-пользователей, которым важно добиться эффективных результатов без применения специальных знаний. Покупателями ПО от 1000 $ чаще всего становятся не экзальтированные подростки и скучающие системные администраторы, а солидные менеджеры крупных фирм, использующие хакерское ПО в конкурентной борьбе.

Чёрный рынок софта никакого отношения к объявлениям:

Пётр. тел. +79506362716
Напишу любой компьютерный вирус по вашему желанию.
Вы только скажете, что бы вы хотели, что бы этот вирус делал и всё вирус будет готов.
Срок в течении часа.
Мой ICQ 388142899

не имеет. Даже найти более-менее устоявшийся прайс на подобного рода программы невозможно. Всё зависит от конкретных целей, уязвимостей, возможностей заказчика, личной заинтересованности связующих бизнес-схемы доверенных лиц.

Однако существуют некие общие значения, отличные от «десятидолларовых» вирусов, на которые могут ориентироваться люди, мало знакомые со спецификой хакерской деятельности, но отлично разбирающиеся в бизнесе. Согласно данным антивирусной лаборатории PandaLabs стоимость «трояна обыкновенного» составляет от 350 до 700 $. Всё это, как вы понимаете, довольно условно. Так, формграббер на античате отдавали за 200 $, а трой, заточенный под кражу данных пользователей банка, например Nuclear Grabber, обойдётся и в 3000 $. За трояна, перехватывающего учетные записи платежных платформ, таких как Webmoney, придется заплатить 500 $.

Самым дорогим будет софт, способный внедряться в ntoskrnl.exe, работающий с сетью через собственный стек TCP\IP на NDIS, перехватывающий HTTP\HTTPS-трафик и способный изменять его при необходимости и т.п. – стоимость соответственно от 5 до 35 000 $ и ввиду некоторой специфики в нашем обзоре будет затронут лишь частично.

В то же время в среде IT безопасности укрепился миф, будто такие комплексы взломщики чаше всего продают друг другу. В действительности хакеры предпочитают в каждом конкретном случае использовать собственные средства вторжения, основанные на самостоятельно найденных уязвимостях, либо включающие тщательный анализ и усовершенствования публично-известных эксплойтов. Такая тактика позволяет, при некоторой доли везения, оградить создателя вредоносного кода от пристального внимания спецслужб, не персонифицируя коммерческий продукт на конкретную личность. Если фаервол, к примеру, ассоциируется у многих с компанией Agnitum, то зловещая программа Lomalka.exe должна в худшем случаи визуализировать размытый образ зловещего русского хакера, не более.

Таким образом в общей массе, дорогой, коммерчески ориентированный вредоносный софт – софт чаще всего не для высококлассных хакеров. Такой софт обладает интуитивно понятным интерфейсом, применяется в разных сферах деятельности, включает широкий набор хакерских инструментов, поражает всевозможные цели для разных категорий пользователей, и не требует никаких познаний в области программирования. Этот вид хакерского софта мы и рассмотрим сегодня с точки зрения финансовой эффективности его создания и применения 🙂 .

WebAttacker

300 $ (цены, естественно, мы указываем примерные)

Шпионский набор эксплойтов, содержащий скрипты, предназначенные для упрощения инфицирования компьютеров. Предварительно хакеру требуется заманить жертву на зараженную страничку, где JavaScript легко определит версию браузера и операционной системы, наличие патчей и обновлений, легко подберёт необходимый эксплойт. Далее всё по стандартной схеме.
IcePack

400 $

IcePack это значительно усовершенствованная версия Mpack, появившаяся на рынке черного IT не более года назад. Не известно, кто именно создатель (либо создатели) приложения, но он (или они) явно не страдают крохоборной жадностью. Основные отличия IcePack от Mpack заключаются в актуализации базы данных и автоматизации основных функций. Существенно, что приложение использует только самые новые эксплойты, не закачивая в качестве обновления бесполезный устаревший код. Однако присутствует возможность и самостоятельно выбрать какой именно эксплойт следует использовать.

Автоматизация действий заключается в варьировании подхода к измененным веб-страницам. Если раньше хакеру приходилось вручную добавлять iframe ссылки, то теперь этим занимается непосредственно утилита. Другое важно нововведение – возможность проверки ftp и iframe. Программа ворует данные об учётных данных ftp серверов, проверяет их на достоверность, а затем добавляет в них iframe-ссылку, ведущую опять таки на IcePack. На декабрь 2007 IcePack содержал 11 непропатченных эксплойтов (если говорить о флагманской версии ultimate, а не demo модуле активно продающемся в рунете) и обновлялся с периодичностью раз в несколько месяцев.
Pinch 3

1000 $

Трой, специализирующийся на краже паролей. Принцип работы заключался в том, что пользователь, в PinchBuilder создаёт файл трояна по своим запросам и требованиям и далее начинает распространять этот файл. Попадая на компьютер жертвы при запуске трояна он начинает себя копировать в системные папки и сканирует такие программы, как ICQ, Miranda IM, Trillian, AIM, &RQ, The Bat!, Outlook, Internet Explorer, Opera, Mozilla/Netscape, FAR Manager, Windows/Total Commander и многие другие программы (список поддерживаемых программ может меняться в зависимости от модификации) на наличие и присутствие в них сохранённых паролей (FTP, авторизации, DialUP подключение, почта, ICQ и т.д.) и отсылает их все на e-mail хакера. Кроме того поддерживается самоуничтожение трояна, некоторые модификации, особенно третья, могут всячески скрывать своё пребывание от пользователя и антивирусных программ.
Shark 2

1000 $

Утилита позволяет создавать большинство видов вредоносного кода. Для этого не требуются даже базовые навыки программирования, поскольку программа после заражения компьютера подключается к предварительно указанному серверу и открывает интерфейс, с помощью которого можно легко управлять действиями хакерского софта. Также интерфейс позволяет пользователю установить определенные действия для процессов и сервисов, например, завершить указанные сервисы, заблокировать сервер пользователя и т.д. Shark2 может сжимать вредоносный софт в UPX-пакеты, а также помогает ему завершать свои процессы при обнаружении программ отладки (предназначенных для дешифровки вредоносных кодов). Генерируемый код способен отображать всю информацию о зараженной системе: процессор, оперативная память, установленный антивирус, используемый браузер и др. Затем Shark 2 позволяет запускать в зараженной системе различные утилиты, редактировать реестр или вносить изменения в хостовый файл. В результате хакеры смогут перенаправлять пользователей на фишинговые или зараженные веб-сайты. Трояны, созданные с помощью данной утилиты, также способны делать скриншоты, перехватывать аудио-потоки и записывать нажатия на клавиши.
Zupacha

1000 $

Бот-клиент, самораспространяющийся троянец-загрузчик, действующий под «центром управления» Zunker, продаётся как отдельно, так и в связке с Zunker. Помимо загрузки других файлов в систему основной задачей Zunker является дальнейшее самораспространение. Для этого используется несколько популярных способов: ICQ-спам, при котором тексты со ссылкой на вредоносные сайты добавляются во все сообщения исходящие сообщения; web-спам добавляет ссылки во все web-формы, заполняемыми пользователем; почтовый спам, когда текст добавляется к тексту письма пользователя.

В функционал бота, помимо стандартных процедур инсталляции себя в систему, внедрения в запущенные процессы, борьбы с некоторыми антивирусами, предоставления услуг анонимного socks- и http прокси-сервера, входит и мощнейшая процедура кражи информации: троянец ворует содержимое Protected Storage, в котором содержатся пользовательские пароли; перехватывает любые отправляемые через браузер данные, вводимые в формы. Контролируемые адреса, с которых перехватывается информация, — это, как правило, адреса банков и платежных систем. Таким образом происходит кража аккаунтов. Функция перехвата нажатых клавиш кнопок мыши и мгновенных скриншотов экрана позволяет обходить защиту виртуальных клавиатур. Ещё одна очень интересная функция связана с фишингом: при попытке пользователя выйти на один из сайтов, обращение к которым контролируется троянцем, происходит либо редирект запроса на поддельный фишинговый сайт, либо добавление в оригинальную страницу сайта нового поля для ввода данных. Содержимое страницы подменяется прямо на компьютере пользователя, еще до отображения в браузере.
Mpack

1400 $

Это приложение для установки вредоносного ПО с использованием всех возможных эксплойтов. Стоит оно около 1000 $ и распространяется хактимой Dream Coders. Помимо, собственно, самой программы хакеры предлагают и сервисное гарантийное обслуживание постоянных клиентов, включающее в себя регулярное обновление системы новыми эксплойтами. Обновление обойдётся от 50 до 150 $ долларов, в зависимости от ликвидности уязвимостей. Принцип действия программы понятен даже начинающему кибервзломщику: после посещения заражённой веб-страницы, содержащей ссылку iframe, пользователь попадает на сервер, где запускается Mpack. Приложение сканит компьютер пользователя на наличие уязвимостей, и при обнаружении таковых, загружает соответствующий эксплойт.
Zunker

2000 $

Программа для управления бот-сетями. По данным «Лаборатории Касперского» Zunker работает подобно обычным системам администрирования ПК, обладает удобный интерфейсом, способен выдавать удобочитаемые графики производительности индивидуальных сетей отображающие количество «зомби» в них в каждый момент времени и уровень активности за день и за месяц, управлять заражённым машинами удалённо, загружать новые вредоносные программы и даже очищать все следы своего присутствия в системе, вплоть до «суицида» всех вредоносных программ. PandaLabs сообщает дополнительную информацию: Zunker делит сети по странам и выдает отчеты по каждому боту отдельно: сколько спама он разослал и какое ПО было использовано для отправки.

Деймос Стренталл

По материалам xakep.ru

 

Метки:

Сохранение конфигурации с оборудования Cisco (SNMP)


По роду работы, у многих администратор и инженеров часто встает проблема регулярного сохранения конфигурационных файлов с большого количества оборудования Cisco Systems. Эта статья освещает вариант
автоматизации этого процесса с использованием технологии SNMP.

Регулярное сохранение конфигураций оборудования можно делать как минимум 2мя способами. Первый – это коннектиться телнетом или по ssh, неважно, и потом делать copy run tftp. Это можно оформить в виде скрипта. У этого способа 2 недостатка, во первых, передача в открытом виде пароля по сети, и, во вторых, это долгий процесс по времени если сравнивать со вторым способом. Второй способ это сохранять посредством SNMP. Вкратце Simple Network Management Protocol – это технология, призванная обеспечить управление и контроль за устройствами и приложениями в сети связи путём обмена управляющей информацией между агентами,
располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления.

Инструментарий для работы с SNMP это пакет net-snmp в частности 2 команды из этого пакета это snmpwalk и snmpset. Первая позволяет просмотреть какие MIB поддерживает устройство, а вторая позволяет собственно управлять устройством. Также для сохранения конфигов нужен tftp сервер, есть возможность сохранять на ftp но, по-моему, проще на tftp. Платформу на которой всё это городить можно выбрать разную Windows, Linux…и т.д. Я использовал Linux ибо проще всё это прикручивать.

Собственно вот сами MIB которые и позволяют делать эти шаманские действия. Оговорюсь что у цисок в частности свитчей существует IOS (Internetwork Operation System) и COS (Catalyst Operation System) это для записи конфига на tftp IOS аналог в консоли copy running-config tftp вот линк с детальным описанием

snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.2.1.55.192.168.1.1 octetstring routername-confg
это для записи конфига на tftp COS аналог в консоли write net вот линк с детальным описанием

snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.5.1.5.1.0 octetstring 192.168.1.1 (Устанавливаем IP tftp)
snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.5.1.5.2.0 octetstring routername-confg (Задаём имя конфигу)
snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.5.1.5.4.0 integer 3 (Говорим циске писать на tftp)

Желательно на циске сделать данные настройки:
это для IOS

access-list 3 remark “SNMP RW access”
access-list 3 permit 192.168.1.1
snmp-server community secret RW 3

Это для COS

set ip permit 192.168.1.1 snmp
set ip permit enable snmp
set snmp community read-write secret

Собственно вот минимальный конфиг для сохранения на цисках у которых стоит ОС IOS:
#!/usr/bin/perl
use English;
$BACKUP_DIRS = “/root/backup-conf-cisco/”;
$BACKUP_SOURCE_DIR = “/tftpboot/”;
$tftpserver = ’192.168.1.1′;
$MIB = ‘.1.3.6.1.4.1.9.2.1.55′;
$RW = ‘secret’;
# файл host-ios должен быть в формате
# cisco-one::192.168.1.2
# cisco-two::192.168.1.3 и т.д.
$filename_host = ‘/root/script/host-ios’;
#Опрашиваем все циски по SNMP из файла host
open DATA, $filename_host or die “Невозможно открыть $filename_host: $!”;
while ()
{
chomp;
# теперь в $_ есть строка и мы ее разделяем на переменные
($name, $ip) = split(/::/);
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip $MIB.$tftpserver s $name”);
}
close DATA;
system (“mkdir $BACKUP_DIRS/`date +%m.%Y` -p”);
system (“tar cvzf $BACKUP_DIRS/`date +%m.%Y`/configs-`date
+%b.%d.%Y`.tar.gz $BACKUP_SOURCE_DIR >> /dev/null && rm
-f $BACKUP_SOURCE_DIR/*”);

Собственно вот минимальный конфиг для сохранения на цисках у которых стоит ОС СOS:
#!/usr/bin/perl
use English;
$tftpserver = ’192.168.1.1′;
$RW = ‘secret’;
# файл host-cos должен быть в формате
# cisco-one::192.168.1.2
# cisco-two::192.168.1.3 и т.д.
$filename = ‘/root/script/host-cos’;
open DATA, $filename or die “Невозможно открыть $filename: $!”;
while ()
{
chomp;
# теперь в $_ есть строка и мы ее разделяем на переменные
($name, $ip) = split(/::/);
# устанавливаем на циске IP tftp сервера
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip .1.3.6.1.4.1.9.5.1.5.1.0 s 172.25.15.8″);
# устанавливаем имя под которым будет сохраняться конфиг
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip .1.3.6.1.4.1.9.5.1.5.2.0 s $name”);
# ну а тут говорим циске сгрузить конфиг на tftp
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip .1.3.6.1.4.1.9.5.1.5.4.0 i 3 “);
}
close DATA;

для сохранения конфигов с PIX я знаю только один вариант в виду того,
что они не поддерживают типы сообщений SNMP Set. Остается только первый
вариант это сохранение посредством телнета, вот сам скрипт:
#!/usr/bin/perl
use English;
# файл host-pix должен быть в формате
# cisco-one::192.168.1.2
# cisco-two::192.168.1.3 и т.д.
$filename = ‘/root/script/host-pix’;
$DIR=”/root/script/”;
# пользователь в моём случае аутентификация через tacasc+
$USER=”user”;
$PASS_USER=”passuser”;
# пароль на ENABLE
$PASS_ENABLE=”passenable”;
system(“rm -f ./temp.sh”);
open DATA, $filename or die “Невозможно открыть $filename: $!”;
while ()
{
chomp;
# теперь в $_ есть строка и мы ее разделяем на переменные
($name, $ip) = split(/::/);
system(“cd $DIR”);
system(“echo ‘#!/usr/bin/expect -f’ >> temp.sh”);
system(“echo spawn telnet $ip >> temp.sh”);
system(“echo expect ‘Username: ‘ >> temp.sh”);
system(“echo send \”$USER\\r\” >> temp.sh”);
system(“echo expect ‘Password: ‘ >> temp.sh”);
system(“echo send \”$PASS_USER\\r\” >> temp.sh”);
system(“echo sleep 3 >> temp.sh”);
system(“echo send \”enable\\r\” >> temp.sh”);
system(“echo expect ‘Password: ‘ >> temp.sh”);
system(“echo send \”$PASS_ENABLE\\r\” >> temp.sh”);
system(“echo sleep 10 >> temp.sh”);
system(“echo send ‘\”write net 172.25.15.8:config-$name\\r\”‘ >> temp.sh”);
system(“echo sleep 15 >> temp.sh”);
system(“echo send \”exit\\r\” >> temp.sh”);
system(“chmod 755 ./temp.sh”);
system(“./temp.sh”);
system(“rm -f ./temp.sh”);
}
close DATA;

оригинал: http://webdock.nnm.ru/sohranenie_konfigov_s_cisok

 

Метки: , ,

Ученье – свет и высокая зарплата: обзор программных эмуляторов сетевого оборудования Cisco Systems и Juniper Networks


Чтобы научиться работать с “серьезным” сетевым оборудованием, совсем необязательно иметь тугой кошелек. Можно воспользоваться специальными эмуляторами, полностью имитирующими нужную среду, а то и целые сети.

Packet Tracert

Разработчик: Cisco Systems Inc.
Web: cisco.com/web/learning/netacad/course_catalog/PacketTracer.html
ОС: Windows XP/Vista/7, Linux (Ubuntu, Fedora)
Лицензия: бесплатно для зарегистрированных преподавателей и студентов курсов

Умение работать с оборудованием Cisco всегда являлось жирным плюсом при приеме на работу, однако оплатить курсы или приобрести циску (даже б/у) может далеко не каждый. Вероятно, поэтому количество кошачьих эмуляторов растет из года в год, и они пользуются популярностью у админов и желающих ими стать. Используя эмулятор, можно самостоятельно подготовиться к получению сертификатов CCNA (Cisco Certified Network Associate, Сертифицированный Cisco Сетевой Специалист), “перепробовав” все доступные девайсы и понастраивав сеть.

Обзор начнем с официальной разработки Cisco – эмулятора Packet Tracert, предлагаемого отделением Networking Academy, отвечающим за образование и подготовку различных курсов. Задача программы: помочь закрепить на практике полученные студентом теоретические навыки. Для ее решения PT обладает всем необходимым, позволяя “строить” сети различной сложности с практически неограниченным количеством устройств. Все установки производятся при помощи логической диаграммы сети, для симуляции представлен весь спектр оборудования, выпускаемого Cisco (роутеры, свитчи, точки доступа и т.п.). Можно изменять настройки объектов, моделировать потоки данных и многое другое. Поддерживается большое количество протоколов и технологий, используемых в оборудовании Cisco (полный список смотри в документации на сайте).

Работа с оборудованием хоть и виртуальна, но выглядит так, будто приходится использовать реальные устройства. Можно добавлять платы расширения, настраивать параметры в командной строке или используя графический интерфейс. Весь процесс обмена данными представлен в виде диаграмм и таблиц, что помогает визуально оценить текущие настройки и работу оборудования.

Официально в свободном доступе Packet Tracert не найти, он предназначен только для зарегистрированных преподавателей и студентов курсов (его можно найти на дисках, прилагаемых к некоторым книжкам по цисковским курсам). Но – нехитрый запрос к гуглу, и нужная программа будет у тебя на харде. Во время установки никаких ключей не требуется, сам процесс стандартен.

Все настройки производятся в большом окне посередине. Внизу слева находятся группы устройств, после выбора чуть правее появляются сами устройства. Отмечаем нужное и двойным щелчком на свободном месте в поле посередине переносим его на карту сети. Поддержка drag’n’drop делает процесс очень простым, устройства затем можно двигать, удалять и т.п. Удобно, что PT самостоятельно связывает некоторые девайсы, например, при появлении Wireless свитча к нему автоматически подключаются все устройства, поддерживающие этот вид соединения. При протяжке кабеля выбираем порт, к которому его подключаем. Один из значков отвечает за автоматическое определение типа соединения, что ускоряет сборку сети на стадии изучения. Если в процессе будет допущена ошибка, то пользователь получает предупреждение с кратким описанием (например, нет свободного разъема).

Пока все настройки логической сети производились во вкладке Logical Workspace (Ctrl+L). Чтобы перейти к физическому устройству и посмотреть порядок подключения, следует выбрать в верхнем левом углу вкладку Physical Workspace (Ctrl+P). Также PT предоставляет два режима отображения работы сети: Realtime Mode (Ctrl+R) и Simulations Mode (Ctrl+S). Переключение производится при помощи ярлыков в правом нижнем углу или горячих клавиш. В Realtime сеть работает в обычном режиме, в режиме Simulations можно наблюдать и контролировать процессы, происходящие в сети (работу устройств, интервалы времени, механизмы передачи данных и т.д.) Мастер Activity Wizard поможет создать собственные учебные сценарии.

Осталось добавить, что предусмотрена работа в многопользовательском режиме, а также доступно несколько пособий по настройке Cisco и справочная система, помогающая разобраться во всех возможностях.

Эмулятор Dynamips

Разработчик: OpenSource
Web: http://www.ipflow.utc.fr/index.php/Cisco_7200_Simulator
ОС: Windows 2k/XP/Vista, x32/x64 Linux, Mac OS X
Лицензия: GNU GPL

Проект Dynamips стартовал в августе 2005 года как эмулятор маршрутизатора Cisco 7200 на ПК и предназначался для проверки конфигурации перед использованием на настоящем оборудовании и для обучения. Сегодня Dynamips может эмулировать и другие платформы Cisco – серии 3600, 3700 и 2600. Причем с выбором разных вариантов устройств: CPU (MIPS64 и PowerPC), RAM (DRAM, Packet SRAM, NVRAM), различных типов карт и портов. Предусмотрена возможность создания виртуальных мостов и коммутаторов. Главная особенность – эмулируемое устройство можно подключить к реальной сети, для чего один из выходов виртуального маршрутизатора связывается с реальной сетевой картой. Работа в режиме гипервизора позволяет распределить нагрузку на несколько систем, ведь IOS (Internet Operating System) образы полностью загружаются в ОЗУ и при большом количестве виртуальных систем отбирают много ресурсов.

Нужный пакет доступен в репозиториях некоторых дистрибутивов Linux. Для захвата трафика используется библиотека pcap, при установке в Windows потребуется самостоятельно инсталлировать WinPCAP. В Ubuntu/Debian установка проста:

$ sudo apt-get install dynamips

Все параметры Dynamips легко узнать, запустив его с ключом ‘–help’. По умолчанию эмулируется Cisco 7206VXR с NPE-200 и 256 Мб ОЗУ DRAM. Чтобы указать другую платформу, следует использовать параметр ‘-P’ (например, “-P 3600″). Дополнительный ключ ‘-t’ позволяет “изменить” внутренности виртуального маршрутизатора (в зависимости от выбранного типа аргументы ‘-t’ будут различны). Для запуска понадобятся реальные IOS образы Cisco, которые не являются частью пакета, и их необходимо скачивать отдельно (легко находятся гуглом, в Сети доступны сборники по несколько гигов). Иногда IOS-образы поставляются в сжатом виде, и перед загрузкой их нужно распаковать:

$ unzip -p c7200-g6ik8s-mz.124-2.T1.bin > c7200.image

Запускаем:

$ dynamips c7200.image

Но в плане настроек Dynamips не очень удобен, чтобы создать на его основе сеть из нескольких маршрутизаторов, придется немало потрудиться. Эту задачу можно облегчить при помощи Dynagen, который является текстовым фронт-эндом к Dynamips. Используя простой файл описания виртуальной среды, мы можем легко соединить несколько устройств. Главное, что все установки собраны в одном месте, имеют простой синтаксис и легко редактируются.

$ nano v_router.net

# Описание узла, на котором установлен Dynamips
[localhost]
# Тип роутера
[[7200]]
# Путь к IOS-файлу
image = /home/grinder/images/c7200.image
# Общие параметры, в данном случае платформа и RAM, при необходимости внутри роутера можно указывать специфические настройки
npe = npe-400
ram = 160

# Первый роутер
[[Router R1]

# Указываем подключение, в нашем случае интерфейс Serial1/0 на R1 будет подключен к Serial1/0 R2
s1/0 = R2 s1/0

[[Router R2]]
# Оставляем все по умолчанию

Это простейший пример, чтобы понять суть настроек. В “боевом” конфиге может быть с десяток самых разных роутеров и конфигураций. Например, чтобы связать один из выходов виртуального маршрутизатора с сетевым интерфейсом реальной или виртуальной системы, пишем:

s2/0 = NIO_linux_eth:eth1

Сначала запускаем dynamips в режиме гипервизора (после отладки можно стартануть в фоне, добавив ‘&’):

$ sudo dynamips -H 7200
Cisco Router Simulation Platform (version 0.2.8-RC2-amd64)
Copyright (c) 2005-2007 Christophe Fillot.
Build date: May 9 2009 18:06:28

ILT: loaded table “mips64j” from cache.
ILT: loaded table “mips64e” from cache.
ILT: loaded table “ppc32j” from cache.
ILT: loaded table “ppc32e” from cache.
Hypervisor TCP control server started (port 7200).

Теперь Dynagen:

$ dynagen v_router.net

После загрузки образов (процесс будет выводиться в консоли, где запущен dynamips) и настроек виртуальных роутеров получим приглашение консоли управления. Введя знак вопроса или help, получим справку по командам. Набрав “help команда”, узнаем обо всех параметрах конкретной команды. Поддерживается автодополнение ввода при помощи клавиши . Для остановки, запуска, перезапуска, приостановки и продолжения применяем команды start, stop, reload, suspend, resume с указанием имени роутера или ключа /all для всех устройств:

=> reload R1

Все команды регистрозависимы, поэтому нужно быть внимательнее. Просмотрим список работающих маршрутизаторов:

=> list
Name Type State Server Console
R1 7200 running localhost:7200 2000
R2 7200 running localhost:7200 2001

Теперь при помощи команды:

$ telnet localhost 2000

Можем подключиться к порту, указанному в поле Console. Хотя проще подключиться, указав имя устройства в строке приглашения Dynagen:

=> telnet R1

В отдельном окне откроется окно терминала, в котором уже управляем настройками.

Несколько виртуальных маршрутизаторов могут нехило загрузить систему. Причем вне зависимости от реально выполняющейся работы. Это происходит потому, что Dynamips не знает, когда роутер выполняет полезную работу, а когда находится в режиме ожидания. Команда idlepc позволяет проанализировать IOS-образы в действии и определить циклы простоя. При первом запуске значение не установлено:

*** Warning: Starting R1 with no idle-pc value

Нужную цифирь idle-pc можно получить, введя в консоли dynagen команду “idlepc get имя_роутера”:

=> idlepc get R1

Будет выдано несколько значений, наиболее оптимальные отмечены знаком “*”. Далее выполнение команды остановится, и потребуется ввести одну из цифр, соответствующих выбранному idlepc. После этого его значение будет добавлено к выполняющемуся процессу. При запуске Dynamips вручную значение idlepc указывается при помощи параметра ‘–idle-pc=’, как вариант, в секции роутера конфига Dynagen дописываем:

idlepc = 0x6076a394

Но лучше просто сохранить значение, чтобы оно считывалось при последующих загрузках:

=> idlepc save R1 db

Повторно просмотреть весь список idlepc просто:

=> idlepc show R1

Все, маршрутизатор можно настраивать.

Проект оброс несколькими субпроектами, делающими использование Dynagen более удобным. Например, gDynagen обеспечивает единую консоль для ввода команд для Dynamips + Dynagen. Генератор настроек для Dynagen – confDynagen добавляет новый режим конфигурирования, который дает возможность изменять параметры Dynagen “на лету”, без остановки виртуальной сети.

Симулятор GNS3

Разработчик: OpenSource
Web: ns3.net
ОС: Windows 2k/XP/Vista, *nix, Mac OS X
Лицензия: GNU GPL

GNS3 (graphical network simulator) – очень мощный симулятор, выпускаемый под свободной лицензией и позволяющий эмулировать сети большого размера. Полезен администраторам и инженерам, а также пользователям, которые готовятся к сдаче сертификатов Cisco (CCNA, CCNP, CCIP, CCIE) и Juniper Networks (JNCIA, JNCIS, JNCIE). Чтобы обеспечить максимальную функциональность, также следует установить Dynamips, Dynagen и виртуальную машину Qemu. Для захвата пакетов потребуется Wireshark (wireshark.org). Кроме образов Cisco IOS, GNS3 умеет работать с olive-образами JunOS (juniper.net/ru/ru/products-services/nos/junos) – операционки, используемой в оборудовании компании Juniper Networks.

Возможна эмуляция простых Ethernet, ATM и Frame Relay свитчей и файеров (ASA, PIX). Как и в случае с Dynamips, легко подключить виртуальный свитч к сетевой карте реальной или виртуальной системы. И главное – все настройки производятся в интуитивно понятной графической среде.

Пакет GNS3 уже доступен в репозиториях большинства основных дистрибутивов Linux. В Debian/Ubuntu для установки набираем:

$ sudo apt-get install gns3

Чтобы использовать самые свежие версии, следует подключить репозиторий gpl.code.de. Подробные инструкции для своего дистрибутива ищи по адресу gpl.code.de/oswiki/GplcodedeApt. Для самостоятельной сборки пакетов потребуется наличие Python и ряда библиотек: Qt, PyQt и других.

При первом запуске встречает Setup Wizard, объясняющий два основных требования к запуску программы: проверить правильность пути в Dynamips и при необходимости скорректировать его. Плюс загрузка IOS-образов.

Окно программы можно назвать стандартным. Слева в “Nodes Types” находятся значки устройств, которые простым перетаскиванием помещаем в окно посередине, строя виртуальную сеть. Двойным щелчком вызываем окно свойств, где настраиваются специфические параметры для конкретного роутера, и, в том числе, добавляются адаптеры. Контекстное меню позволяет запустить, остановить устройство, получить IDLE PC, выйти в консоль. В панели сверху доступны примитивные инструменты рисования (вставка круга, прямоугольника, рисунка). Сеть, состоящая из одних маршрутизаторов, не очень наглядна, остальные компоненты сети (серверы, принтеры и т.п.) добавляются через “Edit – Symbol Manager”.

Правое окно “Topology Summary” предназначено для быстрой навигации, здесь выводятся все девайсы (работающие подсвечиваются зеленым значком). Если образа, соответствующего выбранному устройству, в коллекции GNS3 нет, то при попытке добавить такой роутер получим предупреждение. Чтобы добавить IOS-образы или указать местонахождение гипервизоров Dynamips, открываем “Edit – IOS images and hypervisors”. Указываем на image-файл, при этом платформа, модель и количество RAM отображаются автоматически. Эти значения будут использованы по умолчанию, их можно скорректировать. В поле IDLE PC прописывается нужное значение (если оно известно). Внизу посередине находится консоль Dynagen, предназначенная для непосредственного ввода команд.

После нанесения на карту всех устройств при помощи консоли приступаем к их настройке, в частности, устанавливаем связи щелчком по “Add a link”. Созданные настройки сохраняются в файл для повторного использования.

Стоит отметить, что имеется еще один проект – Dynagui, наглядно показывающий подключения между роутерами. Но по функциональности он не дотягивает до GNS3, а последнее обновление датировано 2007 годом.
Заключение

Не стоит пренебрегать программными эмуляторами сетевого оборудования и недооценивать предлагаемые ими возможности, тем более, что разработчики Cisco Systems и Juniper Networks настоятельно рекомендуют их использовать.

Некоторые команды маршрутизаторов Cisco

help – справка по всем командам
setup – запуск мастера конфигурирования маршрутизатора
show config – просмотр текущих настроек
configure terminal – вход в режим настройки хоста
enable [номер уровня] – переход к определенному уровню настроек
hostname Router – вводим имя маршрутизатора
ip http server – запуск веб-интерфейса
ip route 172.1.1.0 255.255.255.0 10.1.1.1 permanent – статический маршрут
clear ip route * – удаление всех маршрутов
show ip route – просмотр маршрутов

Консоль Cisco поддерживает автодополнение с использованием табуляции, поэтому полностью вводить команды не обязательно.

Проекты одной строкой

Network Simulator – симулятор, предназначенный для изучения работы сетевых протоколов и маршрутизации. Опционально включает модуль анимации nam (network animator).

Xentaur – решение для организации сетей, объединяющих реальные устройства, эмуляторы и виртуальные машины Xen.

NetSim – симулятор работы по протоколам нижнего уровня, с 3D визуализацией процессов.

ProfSIMs, RouterSim, CertExams.com – коммерческие симуляторы и визуализаторы, позволяющие подготовиться для сдачи сертификата Cisco.

INFO

С помощью программы Packet Tracert можно строить целые сети между виртуальными офисами.

В Packet Tracert доступны инструменты рисования, которые помогут лучше представить сеть на карте. Так, например, отдельные элементы или группы можно раскрасить разными цветами.

WWW

Сайт проекта Dynagen – dynagen.org

Отличные видеоруководства по работе с Dynamips и Dynagen – blindhog.net

Характеристики IOS устройств Cisco – tools.cisco.com/ITDIT/CFN/Dispatch

Список репозиториев для GNS3 – gpl.code.de/oswiki/GplcodedeApt

Сайт проекта Wireshark – wireshark.org

Некоторое представление по командам IOS можно получить по адресу: http://www.opennet.ru/docs/RUS/cisco_basic

WARNING

Некоторые старые версии IOS не поддерживают команду idlepc.

Перепостинг статьи: http://www.xakep.ru/post/53126/

 

Метки: , , , ,

STP или защита от закольцовки локальной сети.


Иногда случается ситуация, когда народные таланты начинают пакостить в сети, закольцовывая отдельные ее сегменты отдельным кабелем (при топологии типа “звезда”).

Но и от этого есть защита – STP (Spanning Tree Protocol), сетевой протокол, работающий на втором уровне модели OSI. Основан на одноимённом алгоритме, разработчиком которого является «Мама Интернета» — Радья Перлман (англ. Radia Perlman).

Более подробно русскоязычные читатели могут ознакомиться с описанием данного протокола по нижеприведенной ссылке: http://ru.wikipedia.org/wiki/STP

При имении в наличии управляемого сетевого оборудования становится возможным реализация защиты от физической закольцовки в сети.

НО!

Как я уже не раз повторял: “К безопасности в любой вычислительной сети необходимо подходить комплексно! Так как даже при реализации STP есть возможность деструктивного программного воздействия на компьютерную сеть (у каждой палки 2 конца! 😉 )! Не оставляйте дырок компьютерным хулиганам!”

Данная заметка посвящается системным администраторам и инженерам, которые не понимают сути данного протокола, впрочем, также как и моя статья о VLAN.

Мне приходилось встречать на своем жизненном пути таких “ортодоксов”, не приемлющих никаких новшеств и средств защиты. А почему не использовать то, что уже предоставляется бесплатно оборудованием?

 

Метки: , ,

Организация защиты NetBIOS, SMB и выявление злодеев. ;-)


Портами, используемыми NetBIOS, SMB, являются:
138 – NetBIOS Datagram;
137 – NetBIOS Name Resolution;
139 – NetBIOS Session;
445 – SMB.
Данные порты используются также протоколом RPC и различными сетевыми сервисами. Поэтому слудет быть осторожными с блокированием данных портов.
Обращаем внимание на то, что любая сессия начинается с netbios-запроса, задания ip-адреса и определения tcp-порта удаленного объекта, далее следует обмен NETBIOS-сообщениями, после чего сессия закрывается. Сессия осуществляет обмен информацией между двумя netbios-приложениями. Длина сообщения лежит в пределах от 0 до 131071 байт. Допустимо одновременное осуществление нескольких сессий между двумя объектами.
При организации IP-транспорта через NETBIOS IP-дейтограмма вкладывается в NETBIOS-пакет. Информационный обмен происходит в этом случае без установления связи между объектами. Имена Netbios должны содержать в себе IP-адреса. Так часть NETBIOS-адреса может иметь вид, ip.**.**.**.**, где IP указывает на тип операции (IP через Netbios), а **.**.**.** – ip-адрес. Система netbios имеет собственную систему команд (call, listen, hang up, send, receive, session status, reset, cancel, adapter status, unlink, remote program load) и примитивов для работы с дейтограммами (send datagram, send broadcast datagram, receive datagram, receive broadcast datagram). Все оконечные узлы netbios делятся на три типа:
широковещательные (“b”) узлы;
узлы точка-точка (“p”);
узлы смешанного типа (“m”).
IP-адрес может ассоциироваться с одним из указанных типов. B-узлы устанавливают связь со своим партнером посредством широковещательных запросов. P- и M-узлы для этой цели используют netbios сервер имен (NBNS, WINS) и сервер распределения дейтограмм (NBDD, Browser).
Кроме того “обозревателей” сети (браузеров) в локальной сети может быть несколько. Применительно к домену MS Windows одним из обозревателей (браузеров) в локальной сети должен выступать один из контроллеров домена. Но главным обозревателем (мастер броузер) должен быть только один из хостов. Количество браузеров в сети зависит от размеров данной сети.

Итак, прочитав вышеизложенное, возможно сделать следующие умозаключения для защиты сервисов NetBIOS, SMB от злоумышленников:
1. Однозначно прописывать адреса WINS серверов на хостах сети;
2. Жестко прописывать адреса критически важных узллов сети в файлах hosts, lmhosts на хостах сети, чтобы не было искажения (или минимизация искажения) информации в результате спуфинга адресации;
3. Запретить в правилах фильтрации трафика получение пакетов на вышеуказанные порты от недоверенных адресов по протоколу UDP , разрешив при этом получение пакетов на данные порты только с WINS, SMB (SAMBA) серверов, а также задействовать защиту от ARP спуфинга (если эту опцию поддерживает фильтр пакетов);
4. Настроить периодический перезапуск службы NetBIOS с очисткой кеша, для предотвращения отравления кеша службы;
5. Для серверов служб имен можно посоветовать более частое безопасное обновление зон.
6. В правилах фильтрации сетевого фильтра (стороннего) необходимо также задействовать защиту от ARP спуфинга и IP спуфинга.

Это не защитит от наиболее изощеренных методов атак, но абсолютное большинство умельцев отучит от вредительских действий. Оставшаяся часть, продвинутых в данном направлении, пользователей будет уже нам знакома.

Вот такой небольшой план решения большой проблемы. 😉 Удачи вам, читатели, надеюсь данная статья поможет вам бороться со злодеями в локальных сетях.

 

Метки: , , ,