Блог Андрея Никитушкина Голосов: 0 Адрес блога: http://andreynikitushkin.blogspot.com/ Добавлен: 2012-12-24 18:38:37

Организация защиты NetBIOS, SMB и выявление злодеев. ;-)

2012-12-21 16:27:26 (читать в оригинале)




Портами, используемыми NetBIOS, SMB, являются:
138 – NetBIOS Datagram;
137 – NetBIOS Name Resolution;
139 – NetBIOS Session;
445 – SMB.
Данные порты используются также протоколом RPC и различными сетевыми сервисами. Поэтому слудет быть осторожными с блокированием данных портов.
Обращаем внимание на то, что любая сессия начинается с netbios-запроса, задания ip-адреса и определения tcp-порта удаленного объекта, далее следует обмен NETBIOS-сообщениями, после чего сессия закрывается. Сессия осуществляет обмен информацией между двумя netbios-приложениями. Длина сообщения лежит в пределах от 0 до 131071 байт. Допустимо одновременное осуществление нескольких сессий между двумя объектами.
При организации IP-транспорта через NETBIOS IP-дейтограмма вкладывается в NETBIOS-пакет. Информационный обмен происходит в этом случае без установления связи между объектами. Имена Netbios должны содержать в себе IP-адреса. Так часть NETBIOS-адреса может иметь вид, ip.**.**.**.**, где IP указывает на тип операции (IP через Netbios), а **.**.**.** – ip-адрес. Система netbios имеет собственную систему команд (call, listen, hang up, send, receive, session status, reset, cancel, adapter status, unlink, remote program load) и примитивов для работы с дейтограммами (send datagram, send broadcast datagram, receive datagram, receive broadcast datagram). Все оконечные узлы netbios делятся на три типа:
широковещательные (“b”) узлы;
узлы точка-точка (“p”);
узлы смешанного типа (“m”).
IP-адрес может ассоциироваться с одним из указанных типов. B-узлы устанавливают связь со своим партнером посредством широковещательных запросов. P- и M-узлы для этой цели используют netbios сервер имен (NBNS, WINS) и сервер распределения дейтограмм (NBDD, Browser).
Кроме того “обозревателей” сети (браузеров) в локальной сети может быть несколько. Применительно к домену MS Windows одним из обозревателей (браузеров) в локальной сети должен выступать один из контроллеров домена. Но главным обозревателем (мастер броузер) должен быть только один из хостов. Количество браузеров в сети зависит от размеров данной сети.
Итак, прочитав вышеизложенное, возможно сделать следующие умозаключения для защиты сервисов NetBIOS, SMB от злоумышленников:
1. Однозначно прописывать адреса WINS серверов на хостах сети;
2. Жестко прописывать адреса критически важных узллов сети в файлах hosts, lmhosts на хостах сети, чтобы не было искажения (или минимизация искажения) информации в результате спуфинга адресации;
3. Запретить в правилах фильтрации трафика получение пакетов на вышеуказанные порты от недоверенных адресов по протоколу UDP , разрешив при этом получение пакетов на данные порты только с WINS, SMB (SAMBA) серверов, а также задействовать защиту от ARP спуфинга (если эту опцию поддерживает фильтр пакетов);
4. Настроить периодический перезапуск службы NetBIOS с очисткой кеша, для предотвращения отравления кеша службы;
5. Для серверов служб имен можно посоветовать более частое безопасное обновление зон.
6. В правилах фильтрации сетевого фильтра (стороннего) необходимо также задействовать защиту от ARP спуфинга и IP спуфинга.
Это не защитит от наиболее изощеренных методов атак, но абсолютное большинство умельцев отучит от вредительских действий. Оставшаяся часть, продвинутых в данном направлении, пользователей будет уже нам знакома.
Вот такой небольшой план решения большой проблемы. Удачи вам, читатели, надеюсь данная статья поможет вам бороться со злодеями в локальных сетях.


https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%be%d1%80%d0%b3%d0%b0%d0%bd%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d1%8f-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d1%8b-netbios-smb-%d0%b8-%d0%b2%d1%8b%d1%8f%d0%b2%d0%bb%d0%b5%d0%bd%d0%b8%d0%b5-%d0%b7%d0%bb%d0%be/

---

Мой ответ на статью журнала XAKEP “Китайские закладки: непридуманная история о виртуализации, безопасности и шпионах”

2012-12-21 16:18:42 (читать в оригинале)


Предлагаю ддля начала ознакомиться со статьей журнала XAKEP, которая доступна по следующему адресу: http://www.xakep.ru/post/58104/
А теперь мой ответ на данную статью.
Спасибо автору статьи за столь пространное изложение материала. Надеюсь, что потраченное вами время того стоило. Мною имеется ввиду изобретение вами велосипеда.
Все описанное вами в статье относится к новой технологии корпорации Intel под названием Intel AMT. Впервые данная технология и технология удаленного управления аппаратными платформами Intel с обесточенными основными компонентами, но подключенной к сетевой розетке, как описывает автор, была задействована еще несколько лет назад, начиная с интеловской логики i965(x) и новее. Корпорация Intel настолько много внимания уделяла данной технологии внимания и форсировала разработку, что доступ к наиболее детальной технической документации был возможен только с территории США и только с подсетей части провайдеров США, даже сейчас будут различия между доступной документацией на сайте корпорации Intel из разных регионов планеты. Используйте штатовские прокси или VPN для просмотра сайта Intel.
Так вот, первоначально даная технология удаленного управления была реализована для портативных устройств – ноутбуков и нетбуков. И только затем начала встраиваться и в остальные аппаратные платформы корпорации Intel. Возможности данной технологии достаточно широки, более велики, нежели описанные автором данной статьи.
Так что “злые” китайцы здесь лишь косвенно причастны, была бы дырка, а крысы найдутся. И меня радует, что в России еще остались специалисты, не уехавшие за бугор ввиду наплевательского и распиздяйского отношения нашей власти к инженерному корпусу, которым стала интересна данная тематика. При тотальной безработице в стране до сих пор находятся “Кулибины”. Успехов вам. Могу еще вам посоветовать обратить внимание в ваших исследованиях на BIOS видеоадаптеров, проблематика и выводы будут схожими с вашими.
Так что ни какой пранойе автора не можит быть и речи. Автор сделал вполне правильные и обоснованные выводы. От себя могу добвать, что данные девыйсы раскупаются по всему миру в умопомрачительных количествах… В том числе и в России. Ну да вы сами все прекрасно занаете.
))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
Почитал комментарии к данной статье пользователей. Они весьма занятные. Как всегда много комментариев от авторов, не владеющих обсуждаемой темой.




https://nikitushkinandrey.wordpress.com/2012/01/06/%d0%bc%d0%be%d0%b9-%d0%be%d1%82%d0%b2%d0%b5%d1%82-%d0%bd%d0%b0-%d1%81%d1%82%d0%b0%d1%82%d1%8c%d1%8e-%d0%b6%d1%83%d1%80%d0%bd%d0%b0%d0%bb%d0%b0-xakep-%d0%ba%d0%b8%d1%82%d0%b0%d0%b9%d1%81%d0%ba/

---

Сброс настроек коммутаторов D-Link не имеющих кнопки Reset.

2012-12-21 16:17:49 (читать в оригинале)



Сброс настроек, пароля для коммутаторов D-link, не имеющих кнопки Reset:
1. Необходимо сконфигурировать и подключиться к коммутатору D-link через интерфейс RS-232 и Hyper Terminal, согласно документации прилагаемой к вашему свитчу (настройки, для всех одинаковые /VT100+ANSI+9600+n+8+1/).
2. Запускаем Hyper Terminal (интерфейс RS-232 при этом должен быть подключен!), затем включаем свитч, СРАЗУ же нажимаем комбинацию клавиш Shift+3, далее появится приглашение на английском о смене скорости терминала на 115000, для чего отконнектимся от свитча, ставим в настройках порта в терминале 115000 и снова коннектимся им к свитчу… Далее выбираем меню Передача и далее отправить файл, в открывшемся окне нужно выбрать файл с прошивкой данного коммутатора. Жмем отправить.
3. Собственно и все, после отправки (обновления) прошивки меняем скорость соединения на стандартную, т. е. 9600 и перед нами консоль коммутатора с заводскими настройками и сброшенным паролем…
4. Далее кому как нравится, настраиваем коммутатор через консоль или через веб-интерфейс.
Сброс только пароля…
Работает не на всех коммутаторах… При включении коммутатора через консоль Hyper Terminal жмем комбинацию клавиш Shift+6… Далее коммутатор скажет, что выполняется возврат к заводским настройкам…
После сброса пароля перед нами предстанет консоль коммутатора….
На полноту описания не претендую, указал лишь путь, которому можно следовать, т. к. для разных моделей могут быть свои ньюансы… Для тех коммутаторов, у которых отсутсвует порт RS-232 на корпусе могу посоветовать поискать его распайку непосредственно на печатной плате внутри коммутатора, как правило, распайка под данный порт там присутствует, если же нет распайки под RS-232 порт на печатной плате, то ищем разъем JTAG, но это будет совсем уже другая история…
Это перепост моего сообщения с форума ixbt.ru



https://nikitushkinandrey.wordpress.com/2012/05/11/%d1%81%d0%b1%d1%80%d0%be%d1%81-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b5%d0%ba-%d0%ba%d0%be%d0%bc%d0%bc%d1%83%d1%82%d0%b0%d1%82%d0%be%d1%80%d0%be%d0%b2-d-link-%d0%bd%d0%b5-%d0%b8%d0%bc%d0%b5%d1%8e/

---

Программы удаленного управления локальной сетью

2012-12-21 16:16:48 (читать в оригинале)


Предлагаю вашему вниманию урезанный вариант статьи Сергея Пахомова, полная версия доступна по прямой ссылке: http://www.compress.ru/article.aspx?id=17370&iid=805 Мною выделена только та часть статьи, которая представляет интерес, из моего опыта.
Программы удаленного управления ПК хорошо известны любому системному администратору или работнику службы технической поддержки, поскольку в своей повседневной деятельности они постоянно сталкиваются с задачей администрирования серверов и ПК пользователей локальной сети. Самая распространенная утилита для удаленного управления ПК — это, конечно же, Remote Desktop Connection, входящая в комплект операционной системы Windows. Этот факт объясняется не столько ее функциональными возможностями, сколько тем, что она является составной частью ОС, а потому приобретать ее отдельно не нужно. Что касается функциональности данной утилиты, то на практике ее, как правило, бывает недостаточно, поэтому нередко используются специализированные программные пакеты сторонних производителей. В настоящей статье мы рассмотрим специализированные программные пакеты, предназначенные для удаленного управления компьютерами.
LanHelper 1.61 (www.hainsoft.com)
С ее помощью можно производить удаленное выключение или перезагрузку одновременно нескольких компьютеров сети. На удаленных ПК можно запускать приложения (если они поддерживают запуск из командной строки), кроме того, поддерживается одновременный запуск одинаковых приложений на группе управляемых ПК.
Утилита LanHelper имеет встроенный набор команд, которые можно выполнять на удаленных ПК. При этом возможно указывать время, когда запускается приложение, и временной интервал, в соответствии с которым приложения запускаются на ПК (минимальный интервал 1 мин). Также можно составлять расписание запуска приложений на удаленных ПК. Самое главное достоинство программы заключается в том, что для реализации всех ее возможностей не требуется установка клиентской части на удаленные ПК.
Кроме удаленного выполнения команд, утилита LanHelper 1.61 позволяет просматривать, запускать и останавливать различные службы на удаленных, а также рассылать пользователям сообщения (для реализации данной возможности необходимо активировать службу Messenger на всех ПК).
Для реализации возможностей запуска приложений и выполнения команд на удаленных ПК необходимо иметь права администратора.
Демо-версия программы LanHelper LanHelper 1.61 имеет ограниченный срок действия — 30 дней, цена лицензии составляет 49,95 долл.
DameWare NT Utilities 5.5.0.2 (www.dameware.com)
Программный пакет DameWare NT Utilities 5.5.0.2 представляет собой мощную систему удаленного администрирования локальной сети. Он основан на комплексе утилит Microsoft Windows NT administration utilities, объединенных очень удобным единым интерфейсом. Большинство входящих в пакет утилит из набора Microsoft Windows NT administration utilities обладают расширенными возможностями, а кроме того, в нем есть ряд уникальных утилит. В частности, в пакет входит утилита DameWare Mini Remote Control, позволяющая полностью контролировать рабочий стол удаленного ПК, а также утилита для реализации режима командной строки на удаленном ПК.
При запуске пакета DameWare NT Utilities 5.5.0.2 автоматически сканируется вся сеть и в главном окне программы отображаются все доступные домены и рабочие группы, а также компьютеры в выбранном домене/рабочей группе.
Кратко перечислим возможности пакета DameWare NT Utilities 5.5.0.2: с его помощью можно просматривать информацию о жестких дисках на удаленных ПК, знакомиться с содержанием журнала событий Event Log, просматривать информацию о подключенных принтерах, о запущенных процессах и службах, об установленных приложениях, собирать подробную информацию о конфигурации ПК, получать служебную информацию об активированных пользователями ПК и многое другое. Имеются и дополнительные возможности: можно быстро редактировать реестр на удаленном ПК, посылать сообщения пользователям через службу Messenger, удаленно выключать или перезагружать компьютеры и, как уже говорилось, получать полное управление удаленным ПК через командную строку или рабочий стол.
Несомненным достоинством данного программного пакета является то, что для реализации удаленного управления не требуется вручную устанавливать клиентскую часть программы на удаленном ПК. При попытке управления удаленным ПК через рабочий стол или командную строку программа DameWare NT Utilities 5.5.0.2 автоматически выдает запрос на установку и запуск необходимой службы на удаленном ПК. В этом случае пользователь данного удаленного ПК узнает о перехвате управления во всплывающем окошке, в котором отображается информация о том, с какого именно ПК производится удаленное управление.
К достоинствам DameWare NT Utilities 5.5.0.2 можно отнести возможность одновременного подключения к нескольким компьютерам для управления ими, а также то, что при удаленном управлении не блокируется работа локального пользователя.
В целом этот программный пакет представляет собой мощное и удобное средство сетевого управления.
Демонстрационная версия программы является полнофункциональной, но с ограниченным 30 днями сроком действия. Цена одной лицензии — 289 долл. Кроме того, можно отдельно приобрести пакет DameWare Mini Remote Control для удаленного управления компьютерами через рабочий стол, одна лицензия будет стоить 89,95 долл.
EMCO Remote Desktop Professional 4.0 (www.emco.is)
По спектру функциональных возможностей этот продукт в какой-то мере аналогичен пакету DameWare NT Utilities 5.5.0.2. Программный пакет EMCO Remote Desktop Professional представляет собой набор функциональных инструментов для реализации удаленного управления локальной сетью и мониторинга ее состояния.
При запуске программы можно активировать сетевой сканер, который позволяет собрать подробную информацию обо всех компьютерах локальной сети, об установленных на них приложениях, о запущенных процессах, о версиях имеющейся операционной системы, об установленном оборудовании и т.д. Помимо автоматического сбора информации о компьютерах сети (этот процесс длится достаточно долго) ПК в список можно добавлять и вручную.
Пакет позволяет удаленно запускать и останавливать службы, перезапускать и выключать компьютеры. Самой интересной особенностью данной программы является возможность получения полного контроля над удаленным компьютером — для этого достаточно выделить нужный компьютер в списке и перейти к вкладке Viewer. Если управление компьютером производится в первый раз, то необходимо установить службу NetServer на удаленном ПК. Эта процедура осуществляется удаленно и является абсолютно незаметной для локального пользователя. После того как на удаленном ПК запущена служба NetServer, к нему можно подсоединиться, получить полный контроль над управлением и затем работать с удаленным ПК точно так же, как и с локальным. При удаленном управлении компьютером работа локального пользователя не блокируется; правда, если одновременно использовать мышь, то вряд ли что-нибудь получится.
Поскольку никаких уведомлений о том, что компьютер управляется извне, локальный пользователь не получает, программный пакет EMCO Remote Desktop Professional можно эффективно использовать для тайного наблюдения за действиями пользователей.
Еще одно важное преимущество программы заключается в том, что она позволяет одновременно удаленно управлять несколькими ПК. При этом для каждой сессии соединения с удаленным ПК отводится особое окно.
Из недостатков данной программы отметим сложность ее настройки при использовании ОС Windows XP SP2 на управляемом ПК. Причем, как показывает практика, необходимость настройки зависит от того, какие патчи установлены. Конечно, к программе прилагается пошаговая инструкция тех изменений, которые придется сделать в данном случае (точнее, программа загружает соответствующую инструкцию с сайта), однако все это довольно неудобно и непрактично.
Демонстрационная версия программы рассчитана на 30 дней и поддерживает только 25 компьютеров локальной сети. Цена пакета зависит от количества компьютеров в сети: 50 компьютеров (минимальное количество) — 135 долл.; 1000 компьютеров — 1295 долл.
UltraVNC 1.0.2 (www.uvnc.com)
Утилита UltraVNC 1.0.2 — это абсолютно бесплатная, но, тем не менее, очень эффективная утилита для удаленного управления ПК, работающая по схеме «клиент-сервер». На управляемом компьютере инсталлируется модуль UltraVNC Server, а на компьютере, с которого осуществляется управление, — модуль UltraVNC Viewer. Средств для удаленной инсталляции модуля UltraVNC Server в программе не предусмотрено, поэтому устанавливать модули необходимо локально.
Модуль UltraVNC Server имеет массу настроек и позволяет устанавливать пароль на подключение, выбирать используемые порты и т.д.
При доступе к рабочему столу удаленного ПК в режиме полного контроля работа локального пользователя не блокируется. Кроме того, утилита UltraVNC 1.0.2 предлагает и ряд дополнительных возможностей. К примеру, имеется встроенный чат, с помощью которого можно обмениваться сообщениями с удаленным ПК. Также предусмотрена возможность передачи файлов. Вдобавок ко всему утилита UltraVNC 1.0.2 обеспечивает шифрование передаваемых данных, для чего предусмотрен обмен ключами между компьютерами.
В целом можно отметить, что утилита UltraVNC 1.0.2 является высокоэффективным средством удаленного управления ПК и ее можно рекомендовать как для домашних пользователей, так и для корпоративного использования (особенно с учетом того, что утилита является бесплатной).
Hidden Administrator 1.5 (www.hiddenadm.nm.ru)
Программа Hidden Administrator 1.5 — это еще одна бесплатная программа для удаленного управления компьютерами, причем, как следует из названия, она позволяет осуществлять скрытое наблюдение за компьютерами.
Программа работает по принципу «клиент-сервер». Серверная часть устанавливается на управляемом компьютере, при этом средств для удаленной установки не предусмотрено.
Кроме функции получения доступа в режиме полного контроля к рабочему столу удаленного компьютера, программа Hidden Administrator 1.5 предлагает ряд дополнительных возможностей: получать информацию о конфигурации удаленного ПК, обмениваться файлами с удаленным ПК, посылать сообщения на удаленный ПК, выключать или перезагружать удаленный компьютер, работать с реестром удаленного ПК, получать и передавать буфер обмена, запускать программы на удаленном ПК и многое другое (рис. 16). Перечисление всего, на что способна эта программа, заняло бы массу времени. Отметим, что единственное, чего она не умеет делать, — это шифровать трафик. Естественно, предусмотрена установка пароля на соединение с удаленным ПК и даже настройка IP-фильтра на компьютеры, с которых возможно удаленное управление.
Данная утилита является лучшей в своем классе, и ее можно рекомендовать домашним пользователям.
Вот такой хороший экскурс нам приготовил Сергей Пахомов в программы удаленного управления хостами в локальной сети (а не самой сетью).




https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d1%8b-%d1%83%d0%b4%d0%b0%d0%bb%d0%b5%d0%bd%d0%bd%d0%be%d0%b3%d0%be-%d1%83%d0%bf%d1%80%d0%b0%d0%b2%d0%bb%d0%b5%d0%bd%d0%b8%d1%8f-%d0%bb%d0%be%d0%ba/

---

Суперкомпьютер на основе P2P сетей – еще один шаг на пути к созданию искусственного интеллекта

2012-12-21 16:15:58 (читать в оригинале)


Проблемой создания искусственного интеллекта человечество заинтересоввалось сравнительно недавно, приблизительно с середины прошлого века. На настоящий момент уже имеются теоретические наработки и обоснования в данной области. Это позволило бы создать искусственный разум уже сегодня, но пока все упирается в быстродействие современных технических средств, а зачастую и в их стоимость.
Недавно наткнулся на одну очень интересную разработку, которая позволяет создать суперкомпьютер некоторому количеству участников на основе сетей P2P. Разработка является абсолютно бесплатной (Open Source) и доступна в репозиториях топовых дистрибутивов Linux, носит название CPUShare. Разработчиком данного проекта является Andrea Arcangeli. Программное обеспечение позволяет создать виртуальный суперкомпьютер в течение нескольких минут. Данное программное обсепечение работает на большинстве распространенных аппаратных и всех системных (OS) платформах. Сайт проекта: http://www.cpushare.com. Полюбопытствуйте, не пожалеете потраченного времени.
Использование P2P сетей для реализации распределенных вычислений дает неоспоримое преимущество – количество участников может быть очень большим, соответственно и вычислительные мощности могут быть на порядки выше существующих мощностей суперкомпьютеров в современных датацентрах. К тому же, ввиду децентраллизации P2P сети, данный виртуальный суперкомпьютер будет максимально отказоустойчивым, т. е. функционал сохраниться вне зависимости от того, если часть сети выйдет из строя по каким-либо причинам. Например, стихийные бедствия, военные действия, диверсии и т.д. Данное программное обеспечение, как упоминалось выше, может быть развернуто на любых операционных системах (Linux, Unix, Windows), а это позволит на порядки сократить расходы на создание мощных вычислительных систем, либо сделать их вычислительные мощности еще большими и отказоустойчивыми. А при повсеместном обязательном внедрении клиентской части такой системы, например, в ряде отраслей, ведомствах, отдельных предприятиях, позволит довести вычислительную мощность до недосягаемых ранее высот.
Для обычных пользователей она также представляет интерес, например, с помощью нее можно получить необходимое дополнительное быстродействие на малопроизводительных аппаратных платформах, которые по ряду причин пока нет возможности заменить, например, компьютерные игры. Вариантов может быть множество. Да и коммерческое использование не исключается, излишние вычислительные мощности можно сдавать в аренду за определенную плату.
Никитушкин Андрей
07 июля 2012 года.




https://nikitushkinandrey.wordpress.com/2012/06/07/%d1%81%d1%83%d0%bf%d0%b5%d1%80%d0%ba%d0%be%d0%bc%d0%bf%d1%8c%d1%8e%d1%82%d0%b5%d1%80-%d0%bd%d0%b0-%d0%be%d1%81%d0%bd%d0%be%d0%b2%d0%b5-p2p-%d1%81%d0%b5%d1%82%d0%b5%d0%b9-%d0%b5%d1%89%d0%b5-%d0%be/