Немного о прямом доступе к диску.
2012-12-23 11:25:23 (читать в оригинале)
Существует такая замечательная возможность, как прямой доступ к жесткому диску компьютера, в обход BIOS материнской платы. Данную возможность предоставляют множество программ (программы разбиения дисков, низкоуровнего форматирования, криптоваяния, безопасного затирания информации и многие другие). Не все имеют представление, зачем может понадобиться такая возможность.
Приведу лишь один пример использования данной технологии.
Не так давно столкнулся в одной организации с тем, что BIOS моего компьютера оказался нестандартным, такого BIOS с такой хэш суммой не было даже на сайте производителя. Посмотрев описания компонентов компьютера нашел материнскую плату с такими же компонентами и скачал соответствующий BIOS. Затем попытался перепрошить полностью (заменить) BIOS своей материнской платы. Прошивка прошла успешно, компьютер перезагрузил. Все работало. Но мне давала покой одна небольшая проблемка, в BIOS оказались неперезаписываемы некоторые блоки (таблицы) Flash-памяти.
Если посмотреть на описания на данный тип BIOS (можно найти в интернет), то окажется, что часть данных блоков (таблиц) отвечали за работу контроллера HDD материнскрой платы. После довольно длительных раздумий я решил сравнить информацию BIOS о HDD контроллера материнской платы и информацию о HDD при прямом доступе к HDD. HDD был по информации BIOS на 80 Gb. Для получения доступа к жесткому диску компьютера я воспользовался последовательно программами низкоуровневого форматирования, затирания информации по ГОСТу и программой разбиения диска на разделы.
Результат меня удивил. Оказалось, что жесткий диск на моем компьютере не на 80 Gb, как информировал BIOS, а на 160 Gb.
Решил проверить свои умозаключения по данному поводу в беседе со специалистами в данной области.
Немного пообщавшись в интернет, я выяснил, что имеется возможность для дублирования информации между видимой частью, которую выдавал BIOS, и другой частью, которая была доступная только при прямом доступе к диску.
Вот такая история. Поэтому следует обращать внимание не только на программную защиту, но и проверять программно-аппаратные компоненты вашего компьютера.
Надеюсь, что мой опыт окажется кому-то полезным. Удачи!
Немного о прямом доступе к диску.
Настройка HASP сервера на несколько подсетей с одним сетевым адаптером.
2012-12-23 11:24:42 (читать в оригинале)
Добрый день, хочу поделиться опытом по настройке HASP-сервера на одном сетевом адаптере, привязанном к нескольким IP.
Описание настроек HASP-сервера
В настройках сети удаляем службу доступа к файлам и принтерам для сетей Microsoft, затем отключаем службу сервера (если у нас нет общих ресурсов и станция для HASP сервера у нас выделенная), тем самым обходим ограничения на подлючение к ресурсам IPC и Server (было по 10), что применительно к не серверным продуктам операционных систем от корпорации Microsoft.
Далее прописываем необходимые IP-адреса для сетевого адаптера, например, 172.16.88.48 по маске 255.255.255.0 и 172.16.2.248 по маске 255.255.240.0, адреса шлюза и DNS-серверов, WINS-серверов оставляем не заполненными (лишние проблемы со зловредами /материальными и нематериальными/ нам ни к чему). Отключаем NetBios over TCP/IP. Отключаем службу Net-BIOS
Присваиваем компьютеру имя одинаковое (не обязательно) с HASP-ключом, имя группы, в которую входит данный компьютер, обозначаем одноименно с ведущим доменом, например, ORG (рекомендую HASP-сервер не включать ни в один из доменов).
Для установки HASP-сервера необходимо установить HASP_LM_setup.zip версии не ниже 5 для USB ключа и версии не ниже 4 для LPT ключа.
При установке драйвера ключа выбираем инсталляцию в качестве сервиса.
После установки необходимо скопировать из каталога, куда установились доплнительные программы HASP-сервера, файл nhsrv.ini в системный каталог
%systemroot%\system32 , после чего данный файл необходимо отредактировать, например:
[NHS_SERVER]
NHS_USERLIST = 250
NHS_SERVERNAMES = key1-1 ;-имя сервера
NHS_HIGHPRIORITY = yes ;-использовать высокий приоритет для HASP-сервера
[NHS_IP]
NHS_USE_UDP = enabled ;-разрешить UDP ***
NHS_USE_TCP = enabled ;-разрешить TCP ***
NHS_IP_portnum = 475 ;-используемый порт, как ни старался, получить рабочую конфу с другим портом не выходит. Может кто поделится опытом?
;NHS_IP_LIMIT = 10.24.2.18-99, 10.1.1.9/16, 10.25.0.0/24, ;-указываем диапазоны IP-адресов, с которых разрешен доступ
[NHS_IPX]
NHS_USE_IPX = disabled ; запрещаем IPX, остальное так же закомментируем
;NHS_addrpath = c:\temp ; pathname for haspaddr.dat (default: current dir)
;NHS_AppendAddr = no ; append to haspaddr.dat (default: replace)
;NHS_usesap = enabled ; enabled or disabled (default: enabled)
;NHS_ipx_socketnum = 0×7483 ; IPX socket number (default: 0×7483)
[NHS_NETBIOS]
NHS_USE_NETBIOS = disabled ; запрещаем использование NetBIOS, остальное также закомметируем
;NHS_NBNAME = tf88 ; use another than predefined NetBios name
; CAUTION: clients must use the same name !
;NHS_use_lana_nums = 3,0,7,2 ; default = all (automatic) – Номера используемых областей NetBIOS
Для вступления данных настроек в силу необходимо перезапустить в менеджере служб службу «HASP Loader».
В виду того, что у сервера HASP имеется нестабильность в работе, предположительно не корректно собирается мусор в памяти, что особенно характерно для LPT ключа, за USB ключом такое пока не наблюдалось; необходимо добавить в планировщик заданий запуск задания по расписанию, через каждые 10-15, на перезапуск службы «HASP Loader» (данный интервал может быть уменьшен). Данное задание исполняем в виде коммандного файла для Windows NT и добавляем его в планировщик.
Содержание коммандного файла на перезапуск данной слжбы:
net stop «HASP Loader»
net start «HASP Loader»
На компьютере HASP-сервера отключаем лишние службы, например, средства удаленного редактирования реестра и Telnet. Отключаем все порты на вкладке IP фильрации сетевого адаптера, разрешаем там же только подключения на порт 475 по протоколу TCP! Так мы обезопасим себя от зловредов (виртуальных и материальных
).
Внимание для пользователей антивируса Касперского!
За данным антивирусом замечено не совсем однозначное поведение в отношении HASP-сервера, поэтому рекомендую его отключить. Это будет вполне безопасно, т. к. у нас работает (открыт) только один порт, который слушает только TCP. Замечу, что еще не встречал сетевых вирусов, эксплуатирующих какую-либо уязвимость на данном порту и данного сервиса (HASP LM).
*** – Включение протоколов TCP и UDP в настройках HASP сервера нам необходимо для того, чтобы клиент HASP сервера мог соединяться с ним по протоколу TCP, Странно на первый взгляд, не так ли? Но практика показывает, что только при включении обоих опций клиенты смогут работать по протоколу TCP. Такой вот баг HASP сервера. А лишний трафик по протоколу UDP нам в сети ни к чему (не забываем отключать входящие подключения, как описано выше, на вкладке фильтрации сетевого адаптера).
В ближайшее время обещаю поделиться твиком об увеличении количества подключаемых клиентов к HASP серверу, без нарушения лицензионного соглашения.
Данная статья уже размещена мною на сайте alladin`a: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=63 и данную статью трудно найти, поэтому я решил опубликовать её ещё раз. Кроме того, после смены движка форума на Aladdin.ru, я почему-то не могу зайти на форум под своим именем и паролем.
Настройка HASP сервера на несколько подсетей с одним сетевым адаптером.
Тонкая настройка клиентов менеджера лицензий HASP.
2012-12-23 11:23:58 (читать в оригинале)
Ниже приводится листинг файла nethasp.ini для клиентов HASP-сервера:
; Данный листинг с пояснениями создан для помощи в администрировании начинающим специалистам.
; Данный файл выкладывается в каталог %systemroot%\system32, если на компьютере есть только одна программа,
; работающая с HASP-серверами. Если программ несколько, например, 1С, Компас 3D, T-Flex, T-Doc`s, то выкладываем данные файлы
; в каталог из которого данные программы запускаются….
; Прошу обратить особое внимание на параметры NH_SESSION и NH_SEND_RCV, т.к. данные параметры позволяют нам
; не только обезопасить пользователей и себя от кратковременных сбоев в сети, но несколько smile;-) увеличить число рабочих
; станций работающих с сервером лицензирования без нарушения условий лицензирования, при соответсвующей модификации штатными средствами операционной системы того или иного сетевого стека, но об этом позже…
; Хочу сказать, что для больших контор это будет довольно хорошая экономия денег….
; Еще раз обращаю внимание на мой топик по поводу настройки nhsrv.ini «HASP-сервер с одним сетевым адаптером на несколько IP (подсетей) «,
; в котором есть такие строки NHS_USE_UDP = enabled ;-разрешить UDP и NHS_USE_TCP = enabled ;-разрешить TCP
; именно оба протокола необходимо разрешить на HASP-сервере и не беда, что в мониторе HAPS-ключа будет отображаться UDP метод,
; на самом деле будет работать по TCP… Спросите почему? Думаю, что такой вопрос нужно задать экспертам…
; Кроме того, если порулить групповыми политиками в домене и шаблонами безопасности на HASP-сервере, то можно добиться значительно
; большего количества клиентов без нарушения лицензирования ПО, процентов на 25%, как минимум….
[NH_COMMON]
NH_IPX = Disabled ; <— Здесь запрещаем использовать протокол IPX
NH_NETBIOS = Disabled ; <— Здесь запрещаем использовать протокол NetBIOS, лишний трафик нам ни к чему
NH_TCPIP = Enabled ; <— Здесь разрешает использовать протокол TCP/IP
NH_SESSION = 15 ; <— Продолжительность сессии с HASP-сервером в секундах
NH_SEND_RCV = 30 ; <— Продолжительность попыток, в секундах, поиска HASP сервера в сети
[NH_NETBIOS] ; NetBIOS отключен, да и не к чему он собственно.
;NH_NBNAME = 11tf1
;NH_SESSION = 30
;NH_SEND_RCV = 10
[NH_TCPIP]
NH_SERVER_ADDR = 172.16.88.48, 172.16.2.248 ; <— Адреса HASP-серверов
;NH_SERVER_NAME = 11tf1
NH_TCPIP_METHOD = TCP ; Протокол используемый клиентом для работы с HASP-сервером
NH_USE_BROADCAST = Disabled ; <— Запрещаем использование широковещательного запроса, т. к. лишний трафик нам в сети ни к чему
NH_SESSION = 15
NH_SEND_RCV = 30
; Отключение броадкастов и жестская привязка на IP адрес дает и еще очень важный момент, если в сети используется несколько HASP-серверов….
; В данном случае наш клиент уже не будет подключаться к первому попавшемуся менеджеру лицензий, а обязательно найдет «свой» сервер…
;Знания и труд – горы перетрут…..
; Буду рад, если мои советы помогут вам в решении ваших проблем…
; Копилка знаний должна копиться… Удачи всем…
; Это перепост моей статьи с сайта aladdin.ru, сейчас данный пост можно найти по адресу: http://www.aladdin-rd.ru/support/forum/?PAGE_NAME=read&FID=39&TID=284
Тонкая настройка клиентов менеджера лицензий HASP.
Алгоритмы защиты ARP
2012-12-23 11:23:09 (читать в оригинале)
Algorithm 1 update arp cache
1: if DHCP packet is received then
2: if message type is DHCPACK then
3: IP ← ‘your IP address’ field value
4: if IP != server’s IP then
5: MAC ← ‘client’s hardware address’ field value
6: Add (IP, MAC) to server’s ARP cache
7: Add (IP, MAC) to backup file
8: end if
9: else if message type is DHCPRELEASE then
10: IP ← ‘your IP address’ field value
11: if IP != server’s IP then
12: Remove (IP, ?) from server’s ARP cache
13: Remove (IP, ?) from backup file
14: end if
15: else if message type is DHCPDECLINE then
16: IP ← ‘requested IP address’ options field value
17: if IP != server’s IP then
18: Remove (IP, ?) from server’s ARP cache
19: Remove (IP, ?) from backup file
20: end if
21: else
22: NOOP
23: end if
24:end if
Algorithm 2 send arp reply
1: if ARP message is received then
2: if operation field = REQUEST then
3: TPA ← Target Protocol Address field value
4: Create an ARP REPLY message
5: Sender Protocol Address field ← TPA
6: if TPA = server’s IP address then
7: SHA ← server’s MAC address
8: else
9: Find (TPA, MAC) mapping in ARP cache
10: if (TPA, MAC) does not exist then
11: return //No response is sent
12: end if
13: SHA ← MAC address in (TPA, MAC)
14: end if
15: Sender Hardware Address field ← SHA
16: Send ARP response to requesting host
17: end if
18:end if
—————————————————————–
Дальнейшее – за гуру скриптинга. Скрипткидди, проходьте мимо!
Алгоритмы защиты ARP
Тэги:
algoritm,
arp,
bsd,
cache,
guard,
lan,
linux,
security,
unix,
wan,
window,
безопасность,
защита,
локальный,
сеть
Постоянная ссылка
Мониторинг сети по протоколу SNMP.
2012-12-21 16:32:24 (читать в оригинале)
Довольно часто встречается ситуация, в которой системные администраторы, а иногда и сами руководители ИТ-служб не знают и не подозревают о существовании такого необходимомого инструмента в администрировании локальной сети, как протокол SNMP. SNMP – расшифровывается, как простой протокол управления сетью. Что может дать его использование при администрировании сети: получение информации о “здоровье” локальной сети, СКС, активного сетевого оборудования, а также.. и отдельных хостов (компьютеров). Существует множество графических оболочек, предназначенных для работы с данным протоколом, а я же хочу лишь обозначить путь, по которому необходимо следовать, поэтому выбор гуев оставляю за вами. Как правило такие графические оболочки уже имеют набор стандартных счетчиков для данного протокола, вам остается лишь настроить свое активное сетевое оборудование на разрешение использования протокола SNMP, описать имена используемых сообществ и настроить безопасность для данного протокола, если она поддерживается данным устройством, а также указать хост управления сетью, с которого разрешены подключения по протоколу SNMP. На хосте управления сетью с помощью гуя рекомендую также сделать импорт так называемых информационных баз (mib), которые предназначены конкретно для вашего устройства, это позволит осуществлять расширенный мониторинг, а не только по базовым показателям, доступными по-умолчанию в гуе.
Итак, какую информацию покажет вывод статистики по заданному управляемому сетевому устройству, собранной по протоколу SNMP (в общих чертах):
- объем и количество пакетов транзитного трафика по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
- объем и количество пакетов уникаст, аникаст и броадкаст по отдельным портам активного оборудования, как общее, так и в заданом временнном инервале;
- изменение загрузки пропускной способности портов коммутатора в заданном временном интервале, с их максимальными и минимальными значениями;
- возможно температуру аппаратных компонентов;
- общее количество потерянных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
- общее количество ошибок переданых/полученных пакетов по отдельным портам активного оборудования, как общее, так и в заданном временном интервале;
- текущее состояние портов коммутатора (включен/выключен), а также статистику стостояний портов коммутатора в заданном временном интервале;
- показывает количество и значения MAC-адресов и IP-адресов на данном порту коммутатора, как общую статистику, так и в заданном временном интервале (не у всех показываются пары MAC-IP, зачастую только MAC);
- и т. д.
В добавок ко всему этому имеется возможность отобразить визульно всю локальную сеть в виде графа, будут отрисованы все коммутаторы, все компьютеры и другое актиное оборудование, подключенное к управляемым коммутаторам. А также имеется возможность отслеживания изменения сети в режиме реального времени (кто, во сколько подключился к сети, отключился от сети, к какому порту коммутатора было инициировано было данное подключение).
Такой богатый функционал и позволяет отслеживать здоровье в локальной сети с ипользованием протокола SNMP и управляемого сетевого оборудования. Как я сказал, клиентами хоста управления могут выступать и обыкновенные рабочие станции, если задействовать и настроить на них поддержку SNMP клиента.
Так, например, наличие большого числа потерянных пакетов на каком-то одном порту коммутатора будет однозначно говорить о проблемах в цепочке сетвевая карта-кабель-порт коммутатора. И будет являться основанием для проверки данной цепочки. Или же, большое количество броадкаст трафика на порту коммутатора может говорить о наличии сетевых проблем у компьютера, подключенного на данный порт (это может оказаться и вирусом). Наличие нескольких MAC-адресов на каком-либо порту коммутатора, при наличии только одного хоста, подключенного к данному порту может говорить о том, что данный сотрудлник занимеатся либо флудингом, либо пытается у кого-то отобрать целевой трафик, например, получить доступ к сети интернет, если прокся разграничивает доступ только по MAC-адресам, а у сотрудника по каким-либо причинам имеются административные права на его компьютер.
Рекомендую под управление активным сетевым оборудованием выделить отдельную VLAN, чтобы никто не смог осуществить атаку на протокол SNMP. И отдельную рабочую станцию. Я бы назвал это обязательным условием.
Хотя некоторые админы и страшаться таких слов, как VLAN, Bridge, Trunk.
Не стоит бояться, уверен, что вам это доставит удовольствие и вы найдете этому достойное применение в организации сети и в своей повседневной работе.
Хочу пожелать вам успехов в использовании данного очень полезного протокола, позволяющего оперативно реагировать на проблемы с локальной сетью и СКС. Удачи!
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%bc%d0%be%d0%bd%d0%b8%d1%82%d0%be%d1%80%d0%b8%d0%bd%d0%b3-%d1%81%d0%b5%d1%82%d0%b8-%d0%bf%d0%be-%d0%bf%d1%80%d0%be%d1%82%d0%be%d0%ba%d0%be%d0%bb%d1%83-snmp/
