RSS

Архив метки: хак

Настройка HASP сервера на несколько подсетей с одним сетевым адаптером.


Добрый день, хочу поделиться опытом по настройке HASP-сервера на одном сетевом адаптере, привязанном к нескольким IP.

Описание настроек HASP-сервера

В настройках сети удаляем службу доступа к файлам и принтерам для сетей Microsoft, затем отключаем службу сервера (если у нас нет общих ресурсов и станция для HASP сервера у нас выделенная), тем самым обходим ограничения на подлючение к ресурсам IPC и Server (было по 10), что применительно к не серверным продуктам операционных систем от корпорации Microsoft.
Далее прописываем необходимые IP-адреса для сетевого адаптера, например, 172.16.88.48 по маске 255.255.255.0 и 172.16.2.248 по маске 255.255.240.0, адреса шлюза и DNS-серверов, WINS-серверов оставляем не заполненными (лишние проблемы со зловредами /материальными и нематериальными/ нам ни к чему). Отключаем NetBios over TCP/IP. Отключаем службу Net-BIOS
Присваиваем компьютеру имя одинаковое (не обязательно) с HASP-ключом, имя группы, в которую входит данный компьютер, обозначаем одноименно с ведущим доменом, например, ORG (рекомендую HASP-сервер не включать ни в один из доменов).
Для установки HASP-сервера необходимо установить HASP_LM_setup.zip версии не ниже 5 для USB ключа и версии не ниже 4 для LPT ключа.
При установке драйвера ключа выбираем инсталляцию в качестве сервиса.
После установки необходимо скопировать из каталога, куда установились доплнительные программы HASP-сервера, файл nhsrv.ini в системный каталог
%systemroot%\system32 , после чего данный файл необходимо отредактировать, например:

[NHS_SERVER]
NHS_USERLIST = 250
NHS_SERVERNAMES = key1-1 ;-имя сервера
NHS_HIGHPRIORITY = yes ;-использовать высокий приоритет для HASP-сервера

[NHS_IP]
NHS_USE_UDP = enabled ;-разрешить UDP ***
NHS_USE_TCP = enabled ;-разрешить TCP ***
NHS_IP_portnum = 475 ;-используемый порт, как ни старался, получить рабочую конфу с другим портом не выходит. Может кто поделится опытом?
;NHS_IP_LIMIT = 10.24.2.18-99, 10.1.1.9/16, 10.25.0.0/24, ;-указываем диапазоны IP-адресов, с которых разрешен доступ

[NHS_IPX]
NHS_USE_IPX = disabled ; запрещаем IPX, остальное так же закомментируем
;NHS_addrpath = c:\temp ; pathname for haspaddr.dat (default: current dir)
;NHS_AppendAddr = no ; append to haspaddr.dat (default: replace)
;NHS_usesap = enabled ; enabled or disabled (default: enabled)
;NHS_ipx_socketnum = 0×7483 ; IPX socket number (default: 0×7483)

[NHS_NETBIOS]
NHS_USE_NETBIOS = disabled ; запрещаем использование NetBIOS, остальное также закомметируем
;NHS_NBNAME = tf88 ; use another than predefined NetBios name
; CAUTION: clients must use the same name !
;NHS_use_lana_nums = 3,0,7,2 ; default = all (automatic) – Номера используемых областей NetBIOS

Для вступления данных настроек в силу необходимо перезапустить в менеджере служб службу «HASP Loader».
В виду того, что у сервера HASP имеется нестабильность в работе, предположительно не корректно собирается мусор в памяти, что особенно характерно для LPT ключа, за USB ключом такое пока не наблюдалось; необходимо добавить в планировщик заданий запуск задания по расписанию, через каждые 10-15, на перезапуск службы «HASP Loader» (данный интервал может быть уменьшен). Данное задание исполняем в виде коммандного файла для Windows NT и добавляем его в планировщик.
Содержание коммандного файла на перезапуск данной слжбы:

net stop «HASP Loader»
net start «HASP Loader»

На компьютере HASP-сервера отключаем лишние службы, например, средства удаленного редактирования реестра и Telnet. Отключаем все порты на вкладке IP фильрации сетевого адаптера, разрешаем там же только подключения на порт 475 по протоколу TCP! Так мы обезопасим себя от зловредов (виртуальных и материальных 😉 ).
Внимание для пользователей антивируса Касперского!
За данным антивирусом замечено не совсем однозначное поведение в отношении HASP-сервера, поэтому рекомендую его отключить. Это будет вполне безопасно, т. к. у нас работает (открыт) только один порт, который слушает только TCP. Замечу, что еще не встречал сетевых вирусов, эксплуатирующих какую-либо уязвимость на данном порту и данного сервиса (HASP LM).

*** – Включение протоколов TCP и UDP в настройках HASP сервера нам необходимо для того, чтобы клиент HASP сервера мог соединяться с ним по протоколу TCP, Странно на первый взгляд, не так ли? Но практика показывает, что только при включении обоих опций клиенты смогут работать по протоколу TCP. Такой вот баг HASP сервера. А лишний трафик по протоколу UDP нам в сети ни к чему (не забываем отключать входящие подключения, как описано выше, на вкладке фильтрации сетевого адаптера).
В ближайшее время обещаю поделиться твиком об увеличении количества подключаемых клиентов к HASP серверу, без нарушения лицензионного соглашения.

Данная статья уже размещена мною на сайте alladin`a: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=63 и данную статью трудно найти, поэтому я решил опубликовать её ещё раз. Кроме того, после смены движка форума на Aladdin.ru, я почему-то не могу зайти на форум под своим именем и паролем.

Реклама
 

Метки: , , , , , , ,

TTL – ловим нарушителей периметра сети или развенчиваем мифы.


Доброго времени суток всем тем, кто сегодня читает данную статью!

Я не нашел во всемирной сети Интернет упоминания о возможности использования поля TTL (time to live /время жизни пакета данных в протоколе IP/) таким образом, о котором пойдет речь.
Данного функционала мною не найдено ни в одной общеизвестной коммерческой или Open Source реализации системы безопасности локальных и глобальных сетей.
Между тем возможности по использованию данного поля при обеспечении информационной безопасности локальных и глобальных сетей довольно широки, т. к. имеется возможность с большой степенью достоверности (не совсем верно при использовании генераторов пакетов) определять нарушителей периметра локальной сети или сегмента любой другой сети, а также выполнять достаточно точную идентификацию регионального расположения пользователей в глобальных сетях. Сегодня пойдёт речь лишь об одном из вариантов использования поля TTL для систем безопасности локальной сети, обещаю через некоторое выставить на ваше обозрение материал об использовании поля TTL в целях идентификации пользователей в глобальных сетях.
Начнём, алгоритм с использованием которого возможно выявление компьютерных хулиганов/нарушителей периметра безопасности сети:
1. Устанавливаем для хостов в нашей локальной сети периодически меняющиеся значение поля TTL. На платформах MS Windows данное значение возможно выставить использованием локальных, групповых политик безопасности, либо изменением параметра реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters] «DefaultTTL»=dword:00000063; для платформ на основе операционных систем Linux данное значение возможно изменить с помощью модификации соответствующего параметра сетевого стека “echo 120 > /proc/sys/net/ipv4/ip_default_ttl”. Изменение данных параметров возможно реализовать в виде соответствующих скриптов на VBScript для MS Windows с последующим добавлением в GPO и bash (shell) для Linux платформ, а также последующим добавлением данных заданий в планировщик задач (шедулер, cron) для периодического выполнения данных скриптов. Возможно и единоразовое изменение параметра TTL по возникшей потребности в выявлении нарушителя периметра сети. Нарушение периметра безопасности сети возможно по различным причинам, в т. ч. и в результате действия инсайдеров.
2. Периодически изменяющиеся значение поля TTL, отличное от значения TTL для других хостов, имеет смысл установить особенно для хостов, которым не разрешен выход в сеть интернет через шлюз организации, что позволит отслеживать пользователей, которые нарушают систему безопасности организации, т. к. логично предположить, что данные нарушители получили тем или иным способом административные права на своем хосте (при аутентификации на шлюзе по паре MAC-IP) и/или кто-то по доброте душевной сообщил другому сотруднику свой пароль авторизации на шлюзе доступа в сеть интернет. Для таких хостов, которым не разрешен выход в интернет, устанавливаем значение поля TTL в несколько единиц, такое значение позволит пройти пакетам только через несколько маршрутизаторов (-р) и не даст нарушителям доступа к ресурсам сети интернет.
3. После таких нехитрых приготовлений мы получим в итоге известные значения TTL для нашей подсети (сети), которые меняются со временем. Согласитесь, что нарушителю об этом не будет известно, а это дает возможность выявить такого непрошенного гостя по значению его TTL. Значение TTL нарушителя будет отличным от известных нам в текущий момент значений TTL для нашей подсети (сети).
4. Остается дело техники. 🙂 Для мониторинга значений TTL в сети можно воспользоваться различным программным обеспечением (анализаторы пакетов с фильтрацией по известным нам значениям полей TTL; IDS, IPS с соответствующим написанным дополнением), которое будет отслеживать не валидные значения поля TTL в пакетах и сообщать нам информацию о нарушителе, а также будет иметься возможность по автоматической блокировке нарушителя со стороны средств превентивного реагирования. Дополнительная фильтрация осуществляется: по флагу SYN (TCP) или по запросу на соединение (NEW); для UDP по запросу на соединение NEW, для валидного диапазона сети.
5. После выявления нарушителя можно воспользоваться станцией управления сетью (SNMP) для поиска оного на портах наших коммутаторов по значениям его MAC и IP адресов.
6. Идем к нарушителю и вершим суд праведный.

Как вы уже поняли, данный способ делает поиск нарушителя в локальной сети довольно тривиальным.

Это вся информация, которой я хотел поделиться с вами, уважаемые читатели моего блога.

Обращаю ваше внимание, уважаемые посетители, при использовании материала данной статьи или её части, прямая ссылка на данную статью обязательна. Все права на данную статью, в т. ч. интеллектуальные, принадлежат автору данного сайта.

Если вас заинтересовала данная статья, пожалуйста, распространите ссылку на данную статью через своих знакомых.

UPD: Надеюсь читатели имеют представление о граничных значениях для поля TTL для локальных и глобальных сетей. Не забываем так же о влиянии флага TTL на маршрутизацию пакетов, при прохождении пакета через маршрутизаторы, но это забота провайдеров, которые обязаны производить соответствующее изменение некоторых полей проходящих транзитных пакетов, таких как TTL, ToS согласно требований вышестоящих телекоммуникационных компаний. Особенное внимание не забываем обращать на мультикаст, аникаст трафик.

UPD2: Обращаю внимание, что данный алгоритм позволяет выявлять и такой бич вычислительных сетей, как генераторы пакетов, с точностью до сегмента, а затем до порта (поиск в сегменте труда не составит, если задействовать зеркалирование трафика на управляемом оборудовании или даже вручную). 😉 Есть и другие применения данного алгоритма, которые позволяют вывести уровень защиты вычислительных сетей на качественно новый уровень. Но об этом позже.

 

Метки: , , , , , , ,