книги хакеры / журнал хакер / 103_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Виртуальнаясеть дляWindows-клиента
WDS: служба удаленной установки Windows
Подзащитой корпоративногоантивируса
Symantec Antivirus Corporate Edition:
система защиты клиентских станций масштаба предприятия
Поток пакетов–наконтроль!
Следим за трафиком при помощи протокола NetFlow
Рецепты правильногопитания
Решаем проблему снижения шума на
2видеоурока дляадминов
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
||
P |
|
|
|
|
|
NOW! |
o |
|
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|||
w |
|
|
|
|
|
|
|
|
|
||
|
|
to |
>> ХАКЕР.PRO |
|
|||||||
w Click |
|
|
|
|
|
o |
m |
|
|||
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
СЕРГЕЙ «GRINDER» ЯРЕМЧУК
/ GRINDER@UA.FM /
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Виртуальная сетьдля Windows-клиента
НАСТРАИВАЕМ СЕРВЕРЫ PPTP И RADIUS НА БАЗЕ LINUX
Сегодня перед системными администраторами все острее встает проблема обеспечения мобильных и удаленных пользователей полноценным и защищенным доступом к корпоративной сети. Благодаря встроенной поддержке туннельного протокола «точка-точка» в операционных системах Windows, одним из самых популярных решений является построение защищенных туннелей на основе PPTP. Настройкой такого сервера мы сегодня и займемся.
Протокол PPTP
Протокол PPTP (Point-to-Point Tunneling Protocol) позволяет создавать защищенные каналы для обмена данными по различным сетевым протоколам: IP, IPX или NetBEUI. Их данные инкапсулируются с помощью протокола PPTP в пакеты протокола IP, с помощью которого переносятся в зашифрованном виде через любую сеть TCP/IP. PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола туннелирования сетевых пакетов GRE (Generic Routing Encapsulation — общая инкапсуляция маршрутов). Для шифрования тра-
фика применяется протокол MPPE (Microsoft Point-to-Point Encryption),
использующийпотоковыйшифрRSA,RC4-ключикоторогоменяютсяв течениесессии.
CiscoпервойреализовалаPPTPвсвоихпродуктах,онаилицензировала этутехнологиюкорпорацииMicrosoft.Из-заопасенийпоповодупатент- ныхпретензийпротоколаMPPEдонедавнеговременивдистрибутивах LinuxотсутствовалаполноценнаяподдержкаPPTP.Однако,начинаяс версии2.6.13,появиласьполнаяподдержкаPPTP.
Ноневсетакгладко.Несмотрянапопулярность,специалистынедолюбливаютPPTPпопричинеслабыхалгоритмовпарольнойаутентификациии возможностиполучениясессионныхключейнаосновепользовательского
/ 130 |
XÀÊÅÐ 07 /103/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР.PRO |
to |
|
|
|
|
|
||||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ВыбираемподключениекVPN
Файлoptions
пароля.ОбэтомможнопочитатьнасайтеБрюсаШнаера(BruceSchneier): www.schneier.com.Этотспециалистзанимаетсяанализомреализации
PPTPс1998года.
ЕслибыневстроеннаяподдержкавWindows,оPPTP,вероятно,ужедавно бывсезабыли.Хотя,сдругойстороны,вWindowsXPиболеепозднихверсияхWindowsприсутствуетвозможностьзаменитьпаролипользовательскимисертификатами,дляэтогосPPTPприменяетсяпротоколExtensible AuthenticationProtocol-TransportLayerSecurity(EAP-TLS).
УстановкасервераPoPToPвLinux
ОднойизпопулярныхреализацийPPTPявляетсясерверPoPToP(www. poptop.org).ИзначальнооннаписандляLinux,нобезпроблемработает вSolaris2.6,OpenBSD,FreeBSDидругих.Этопервыйпроект,предоста- вившийвозможностьстроитьPPTP-серверывLinux.Онстартовалпод руководствомMatthewRamsayиконтролировалсяMoretonBayVentures (www.moretonbay.com).Вмарте1999годаPoPToPбылопубликованпод лицензиейGNU.ОнсовместимсовсемиверсиямиWindowsиниксо- вымPPTP-клиентом(pptpclient.sf.net).Поддерживаетаутентификацию
MSCHAPv2ишифрованиеMPPE40с128-битнымRC4.Прииспользовании RADIUSлегкоинтегрируетсявсетиWindows.
ПослевключенияподдержкиPPTPвядро,установкаPoPToPоченьупростилась.Оназаключаетсявраспаковкеполученногоархиваистандартных:
$ ./configure -–prefix=/usr $ make
$ sudo make install
ЕслинужнаподдержкаTCPwrappers,следуетдобавитьключ'--with- libwrap'(mantcpd(5)).Такжестоитпоискатьпакетыврепозитарии.В дистрибутивах,использующихapt,как,например,вUbuntu,вводим:
$ sudo apt-cache search pptp $ sudo apt-get install pptpd
Все,установказакончена,можнопереходитькнастройке.
Конфигурационные файлы PoPToP
ПоумолчаниюсерверPoPToPиспользуетконфигурационныйфайл/etc/ pptpd.conf.Еслиустановкапроизводиласьизисходныхтекстов,готовый шаблонлежитвподкаталогеsamplesархивасисходнымитекстами.Можно,конечно,всепараметрызадаватьвкоманднойстроке,ноэтонеудобно. Редактируем:
$SUDOVI/ETC/PPTPD.CONF
#По умолчанию клиентские соединения будут ожидаться на всех интерфейсах; можно указать конкретный адрес для PPTP-соединений
#listen 217.165.34.2
#Путь к исполняемому файлу pppd
#ppp /usr/sbin/pppd
#Путь к файлу с параметрами PPP option /etc/ppp/pptpd-options
#Включает отладочный вывод в syslog
#debug
#Задержка перед открытием соединения (по умолчанию
10 секунд); параметр предназначен для защиты от DoS-атак
#stimeout 10
#Сняв комментарий, мы запретим передачу клиенту его IP-адреса
#noipparam
#Использование wtmp(5) для записи о подключениях клиентов
logwtmp
#Включение перенаправления broadcast-пакетов, требует конфигурирования с параметром '--enable-bcrelay'
#bcrelay eth0
#Ограничения скорости клиентов (бит/сек)
#speed 115200
#Внутренний IP-адрес
localip 192.168.2.1
# Клиентские IP-адреса. При описании не должно быть пробелов, можно указывать диапазон адресов или отдельный адрес
remoteip 192.168.2.100-150,192.168.2.200-245
Простейшееправилодляiptablesвыглядиттак:
$ sudo iptables |
--append INPUT |
-- --protocol 47 |
jump |
ACCEPT |
|
|
|
$ sudo iptables -- |
append INPUT |
--protocol tcp -- |
match |
tcp --destination-port 1723 -- |
jump ACCEPT |
|
|
|
|
|
|
Теперьредактируемфайлpptpd-options:
$SUDOVI/ETC/PPP/PPTPD-OPTIONS
# Имя (должно соответствовать второму полю в /etc/ppp/ chap-secrets)
XÀÊÅÐ 07 /103/ 07 |
/ 131 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
>> ХАКЕР.PRO |
|||||
w |
|
|
to |
|
|
|
|||||
w Click |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
||||||
w |
|
|
|
|
|
|
|
|
|
||
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Настройкивpptpd.conf
name pptpd
#Удаление домена из имени пользователя chapms-strip-domain
#Авторизация
refuse-pap refuse-chap refuse-mschap require-mschap-v2 require-mppe-128
#Если pppd является основным сервером для Windows-клиен- тов, то клиентам можно задать адреса DNS- и WINS-серверов
#ms-dns 10.0.0.1
#ms-wins 10.0.0.2
#Добавляем IP- и MAC-адреса клиента в таблицу ARP. Таким образом, клиент как бы находится в локальной сети и может подключаться к ее ресурсам
proxyarp
#Не изменять маршрут по умолчанию
nodefaultroute
# Выполняем блокировку соединения и отключаем компрессию lock
nobsdcomp novj novjccomp
Притакихустановкахаутентификацияпользователявозможнатолькос помощьюсредствCHAPv2,поэтомуоткрываемфайл/etc/ppp/chap-secretsи добавляемпользователей,которыесмогутподключатьсяпоVPN.Впростейшемслучаевфайлзаноситсялогинипароль:
sergej pptpd password *
Наэтомнастройкизакончены,перезапускаемдемон:
$sudo /etc/init.d/pptpd restart
Ипробуемподключитьсяксерверу.
Прикручиваем RADIUS
Для небольших компаний такой настройки PoPToP, вероятно, будет достаточно. Если VPN-пользователей много, следует применять более удобные методы их авторизации. Поэтому, когда PPTP-конфигурация
ПакетыUbuntu
будет должным образом протестирована, можно приступать к на-
стройке RADIUS (Remote Access Dial-Up User Service). Если говорить коротко, то его задача сводится к аутентификации, а также к хранению логинов и паролей пользователей. Сервер RADIUS определяет, может ли пользователь подключаться к запрашиваемому им сервису. При необходимости производится учет времени, трафика и других параметров сессии пользователя. Кроме всего прочего, так мы сможем использовать TLS-EAP. На сегодняшний день наиболее популярным открытым решением является FreeRADIUS, его и будем ставить.
$sudo apt-get install freeraduis
Вфайл /etc/ppp/pptpd-options добавляем строку, описывающую плагин:
plugin radius.so
О настройках RADIUS можно рассказывать долго, я остановлюсь лишь на самых необходимых. Все конфигурационные файлы находятся в каталоге /etc/freeradius. Так как клиент у нас один и находится на том же узле, что и сервер, файл clients.conf исправляем следующим образом:
client 127.0.0.1 {
secret = super_PassWOrd shortname = localhost nastype = other
}
Файл users содержит конфигурационную информацию о пользователях и другие данные, необходимые для аутентификации. Для проверки работы заведем тестового пользователя:
test Auth-Type:=MS-CHAP, User-Password == "test"
Пользователи, зарегистрированные в /etc/passwd, подключаются тоже просто:
DEFAULT Auth-Type = System
Fall-Through = 1
Теперь редактируем главный файл сервера radiusd.conf (для экономии журнального пространства конфиг дается в сильно сжатом виде, полную версию radiusd.conf ты найдешь на прилагаемом к журналу диске):
#vi radiusd.conf
#Имя пользователя и группа, используемые для запуска
FreeRADIUS
/ 132 |
xàêåð 07 /103/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
ХАКЕР.PRO |
|
|
|
|
|
|||||
w Click |
to |
|
|
|
|
|
m |
|||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
user = freerad group = freerad
#Максимальное количество запросов, хранимых сервером
max_requests = 512
#Слушаем на localhost
bind_address = 127.0.0.1
#Использовать указанный конкретный port, если 0; его значение берется из /etc/services
port = 0
#Не разрешать преобразование адресов
hostname_lookups = no
#Записывать в лог попытки авторизации log_auth = yes
#Записывать в лог некорректные и корректные пароли при авторизации
log_auth_badpass = yes log_auth_goodpass = no
#Включить/выключить коллизию пользователей usercollide = no
#Настройки безопасности для противодействия возможным DoS-атакам
security {
#Максимально допустимое количество атрибутов
в RADIUS-пакете max_attributes = 200
#Задержка (в секундах) перед отправкой пакета
Access-Reject reject_delay = 1
#Не отвечать на запросы Status-Server
status_server = no
}
Сохраняем, пробуем запустить FreeRADIUS в отладочном режиме:
$sudo freeradius -X
Иподключаемся, используя тестовую запись. Если все прошло успешно, схему можно наращивать дальше, подключая LDAP, Active Directory, базу данных. Кроме того, можно интегрировать EAP и прочие приложения, позволяющие сделать работу с учетными записями проще, а соединения безопаснее.
Мы же идем дальше. z
Настройка клиентского соединения в Windows
Настройка PPTP-соединения практически ничем не отличается от подключения к провайдеру. Вызываем «Сетевые подключения», выбираем «Создание нового подключения» и следуем указаниям мастера. Во втором окне отмечаем пункт «Подключить к сети на рабочем месте» и в следующем — «Подключение к виртуальной частной сети», затем вводим название подключения и указываем, необходимо ли набирать номер для предварительного подключения. Если соединение осуществляется напрямую, то выбираем «Не набирать номер для предварительного подключения» и вводим IP-адрес или имя сервера, к которому необходимо подключиться. После нажатия кнопки «Готово» можно пробовать подключиться к серверу, введя логин и пароль. В зависимости от версии и настроек сервера, а также версии клиентской операционной системы, возможно, потребуется уточнить некоторые параметры подключения (протокол, обязательность шифрования, сжатие и другие), для чего необходимо выбрать «Свойства» созданного соединения.
Включение поддержки PPTP в ядре Linux
Если вывод lsmod не показывает наличие строк «ppp*», следует пересобрать ядро. Вводим make menuconfig и включаем для всех ядер:
Networking Support --> Networking options -->
<M> IP: GRE tunnels over IP
И для 2.6.15+:
Device Drivers --->
Network device support --->
<M> PPP (point-to-point protocol) support <M> PPP support for async serial ports <M> PPP support for sync tty ports
<M> PPP Deflate compression
<M> PPP BSD-Compress compression
<M> PPP MPPE compression (encryption) Cryptographic options --->
[*]Cryptographic API
[*]HMAC support
<M> MD5 digest algorithm <M> SHA1 digest algorithm <M> SHA256 digest algorithm
<M> SHA384 and SHA512 digest algorithms
<M> DES and Triple DES EDE cipher algorithms <M> ARC4 cipher algorithm
Для более ранних версий параметры будут отличаться, но не сильно. Также для таких ядер следует сначала наложить патч, взяв нужную версию с сайта mppe-mppc.alphacron.de. Например, для версии ядра 2.6.11 команда будет выглядеть так:
$ cd /usr/src
$ wget -c http://mppe-mppc.alphacron.de/linux-2.6.11- mppe-mppc-1.3.patch.gz
$ gunzip linux-2.6.11-mppe-mppc-1.3.patch.gz $ cd linux
$ patch -p1 < ../linux-2.6.11-mppe-mppc-1.3.patch
После конфигурирования компилируем ядро как обычно.
xàêåð 07 /103/ 07 |
/ 133 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|||
w |
|
|
|
>> |
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
ХАКЕР.PRO
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
СЕРГЕЙ «GRINDER» ЯРЕМЧУК
/ GRINDER@UA.FM /
Подзащитой корпоративного антивируса
SYMANTEC ANTIVIRUS CORPORATE EDITION:
СИСТЕМА ЗАЩИТЫ КЛИЕНТСКИХ СТАНЦИЙ МАСШТАБА ПРЕДПРИЯТИЯ
Сегодня нет нужды убеждать кого-либо в необходимости антивирусной защиты. Если в рамках одногодвух компьютеров это, можно сказать, привычная задача, то установка и контроль над обновлениями нескольких десятков, а то и сотен компьютеров без специальных инструментов уже невозможна. Благодаря возможности централизованной настройки продукт Symantec AntiVirus Corporate Edition for Workstations обеспечивает автоматизированную защиту рабочих станций от вирусов, шпионских и рекламных модулей, позволяя тем самым максимально увеличить время бесперебойной работы систем.
Возможности и компоненты SAV
SymantecAntiVirus—этомногоплатформенныймасштабируемыйпро- дукт,обеспечивающийзащитурабочихстанцийисерверовотвирусов. SAVv10(размерпорядка800Мб)содержитнесколькокомпонентов:
версия10.1.xдляWindows2000,2003,XPиNetware;клиентскаяверсия 10.2дляVista;версия1.0.xдляLinux.Для32-и64-битныхоперационных системиспользуютсяразныеверсиипрограммы.
Компьютерысклиентскойчастью,обеспечивающейпроверкусистемна наличиевирусов,могутбытьподключеныкобщейсети,либоработать отдельно(например,вудаленномофисе).Дляуправлениякомпьютерами,накоторыхустановленклиентSymantecAntiVirus,применяется
SymantecAntiVirusServer.Егозадача—рассылкаполитикантивирусной защитыиобновлениесодержимогонаклиентскихкомпьютерах.Также онобеспечиваетантивируснуюзащитукомпьютера,накоторомустановлен.Причемвсетитакихсерверовможетбытьнесколько.Этоочень удобнодлясетейсосложнойтопологией,таккакпозволяетвкаждом сегментеиспользоватьсвойсервер,уменьшаянагрузкунасетьиупро- щаяадминистрирование.Единственноеправило:одинизSAV-серверов долженвыступатьвролиосновного(master)сервера.
Дляцентрализованногоуправленияантивируснойзащитойследует применятьSymantecSystemCenter,которыйкакразиявляетсяосновнымрабочимместомадминистратора.Вегосоставвходитнесколько
/ 134 |
XÀÊÅÐ 07 /103/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР.PRO |
to |
|
|
|
|
|
||||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Консольуправлениясервером
модулей,которыепринеобходимостиможновключать/отключатьво времяустановки:
1.AlertManagementSystem(AMS)—позволяеторганизоватьдовольно гибкуюсистемуоповещенияоразличныхсобытиях(обнаружение вирусов,обновлениепрограмм).Поддерживаютсяпочтивсевозможныепутипередачиинформации(выводнаэкран,электроннаяпочта, пейджеридругие);вкачествереакциинанаступившеесобытиеможно назначитьзапусклюбыхпрограмм.
2.SymantecAntiVirus—предназначендляцентрализованногоуправле- нияработойклиентскихантивирусовсвозможностьюиндивидуального подхода.
3.SymantecClientFirewall—используяэтотмодуль,можноуправлять настройкамимежсетевогоэкранафирмыSymantec(если,конечно,он используется).
Такжевкомплектвходятсредстваудаленногоразвертываниясервера иустановкиклиентскихпрограмм.ОтдельноустанавливаетсяCentral QuarantineServer,представляющийсобойцентрализованноехранилищеинфицированныхобъектов,которыеантивируснесмогвылечить. Необходимостьвтакомсервисевесьмасомнительна,таккактакие файлылучшеудалятьсразу.Хотяеслиэтоважныйдокумент,зараженныймакровирусом,можнопопытатьсяегоспасти,открыв,например,в томжеOpenOffice.orgиливвиртуальноймашине.ДляорганизациилокальнойслужбыLiveUpdateследуетустановитьLiveUpdateAdministrator. Такклиентысмогутподключатьсянапрямуюклокальномузеркалу, экономяинтернет-трафик.И,наконец,системасборастатистикии выдачиотчетоворганизуетсяпосредствомустановкиReportingServerи ReportingAgents.
Устанавливаем компоненты
Symantec AntiVirus
СистемныетребованиядляустановкикомпонентовSymantecAntiVirus, вобщем-то,невелики.Подойдетлюбойкомпьютер,имеющий32Мб (SymantecSystemCenter)или64Мб(остальныекомпоненты)ОЗУсус- тановленнойоперационнойсистемой—отWindowsNT4.0доWindows 2003.Поэтомуочевидно,чтокомпьютерследуетвыбирать,исходяиз требований,предъявляемыхсамойоперационнойсистемой,накоторую будетустановлентотилиинойкомпонент.Необходимоналичиеконсоли управленияMMCотверсии1.2;еслитаковаяотсутствует,онабудет поставленапоходу.
Компьютер,накоторыйбудетустановленсервер,должениметьста- тическийIP-адрес.Также,хотяобэтомнигдеинесказано,раздел,куда будутустанавливатьсякомпоненты,долженбытьотформатирован подNTFS,иначемогутпоявлятьсяничемнеобъяснимыеошибки.Для ReportingServerпотребуетсяналичиеIIS4.0.ПоумолчаниювWindows XP/2003оннеустанавливается,поэтомуследуетзайтив«Установкаи удалениепрограммУстановкакомпонентовWindows»ивыбратьв
Клиентскаячасть
спискеIIS(можетпонадобитьсяустановочныйдискWindows).Естественно,длявыполнениявсехоперацийпотребуютсяправаадминистраторалокальнойсистемыилидомена.
Установитькомпонентыкаксерверной,такиклиентскойчастиможно несколькимиспособами.Самымпростымявляетсяиспользованиеком- пакт-диска.ХотяпослеинсталляцииSymantecSystemCenterвозможна удаленнаяустановкавсехкомпонентовчерезконсольуправления.
Конкретныйсценарийустановкизависитотструктурысетииналичия желаниябегатьпоэтажам/филиаламскомпакт-дискомвруках.Мыже пойдемпопорядку.
Вставляемкомпакт-диск,впоявившемсяменювыбираемInstall SymantecAntivirusивследующемокне—InstallSymantecAntivirus Server.Еслисерверужеустановлен,егоможнообновитьвпервомокне мастераустановки,указавUpdateSymantecAntivirusServer.Иначежмем наInstallиследуемуказанияммастера.Послеподтверждениялицензионногосоглашениябудетпредложенвыборкомпонентов,средикоторых можносразуустановитьReportingAgentдлясбораиотправкистатистикинасерверотчетов.
Далеевыбираемкомпьютер(точнее,компьютеры),накоторыйбудет установленкомпонент.Этаоперациястандартна.Можноуказатьнужныекомпьютеры,выбираяихвдеревеслева,вводяпарольдлядоступа идобавляявсписокспомощьюAdd.Аможнозаранеесоставитьфайлсо спискомIP-адресовиуказатьегоспомощьюImport.Посленажатияна кнопку«Далее»мастерпопробуетсоединитьсясвыбраннымисистемами,ивслучаеуспехаустановкапродолжится.
Дляудобствауправлениясерверыможнообъединятьвгруппы.Наследующемшагемастерабудетпредложеноподключитьсякужеимеющимся группамилисоздатьновую.Таккакникакихгрупппоканет,нажимаем «Далее»исоглашаемсяспредложениемсозданияновойгруппы,введя имяпользователяипарольдляуправленияидоступакнастройкам группы.
Посленажатиянакнопку«Далее»,собственно,иначнетсяпроцесс развертывания,входекоторогобудетпоказансписоккомпьютеров,на которыезапланированаустановка,итекущийстатус.Поокончании выходимизмастеранажатиемнаClose.Обуспехесвидетельствует появлениевпанелизадачновогозначкаклиентскойчастиантивируса. Теперьпереходимкостальнымкомпонентам.
Установкацентрауправленияпроисходитаналогично.Выбираемв менюдискаInstallSymantecAntivirusCenterиследуемуказанияммастераустановки.Послеподтверждениялицензионногосоглашениябудет предложеновыбратьустанавливаемыекомпоненты.Поумолчанию консольAlertManagementSystemдляустановкинепредлагается;если планируетсяееиспользование,следуетубедиться,чтостоитсоответствующийфлажок.Поокончаниипотребуетсяперезагрузкакомпьютера. Дляхранениясобраннойинформациисерверотчетовиспользуетбазу данныхSQL.ВкомплектеидетMicrosoftSQLServerDesktopEngine,
XÀÊÅÐ 07 /103/ 07 |
/ 135 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
|
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
>> ХАКЕР.PRO |
|||||
w |
|
|
to |
|
|
|
|||||
w Click |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
||||||
w |
|
|
|
|
|
|
|
|
|
||
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Компонентыклиента
которыйибудетпредложенпоумолчанию.Хотяеслиестьужеработаю-
щийSQLServer,можновыбрать«InstallReportingServerusingadatabase serveronanothermachine»ииспользоватьего,заполнивнеобходимые параметрыдлядоступа.Дляустановкисервераотчетоввыбираем InstallReportingServerиследуемзамастером.Походунеобходимобудет создатьпарольдляучетнойзаписиadminнасервереотчетов,атакжедля пользователяsaнаDesktopEngine.
Установка клиента
КлиентSymantecAntivirusтакжеможноустановитьнесколькимиспо- собами.Одинизних—использованиекомпакт-диска,вменюкоторого
НастройкаобновленийLiveUpdate
нейшемконсольрежезапрашивалапароль,можноустановитьфлажкив пунктах«Rememberthisusernameandpassword»и«Automaticallyunlock thisservergroup».Послеразблокировкинашсерверпоявитсявсписке.
Далееследуетуказать,чтоонявляетсяглавным.Дляэтоготакжевызываемконтекстноеменю,выбираемпункт«MakeServeraPrimaryServer»ив следующемокнеподтверждаемсогласие.
Далее«ToolsClientRemoteInstall».Напервомшагеуказываемместонахождениеустановочныхфайлов.Поумолчаниювсенеобходимое устанавливаетсявместесконсолью(вкаталогC:\ProgramFiles\SAV\ CLT-INST\),поэтомувбольшинствеслучаевдостаточновыбратьDefault Locationиперейтикследующемушагу.Теперьпредстоитуказатьсервер,
«Некоторые свойства и задачи, выполняемые компонентами антивируса на клиентских машинах, можно редактировать, воспользовавшись контекстным меню. Но для удобства администрирования компьютеры объединяют в группы. Выставленные настройки будут действительны для всех клиентов, входящих в определенную группу»
выбираемпунктInstallSymantecAntivirusClient.Впроцессеможнобудет изменитьсписокустанавливаемыхкомпонентов.Такжепредстоит выбратьвариантиспользованияклиента:
1.Unmanaged(неуправляемый)—есликомпьютериспользуетсяв отдельнойсети(например,домашнийкомпьютер)ибудетуправляться пользователем;
2.Managed(управляемый)—есликомпьютервходитвкорпоративную сетьиегонастройкамибудетуправлятьсерверSymantecAntivirus. ПривыборевтороговариантавследующемокневстрокеServerName надоввестиимясервераилинайтиего,используякнопкуBrowse.
ПриудаленнойустановкеследуетиспользоватьконсольSymantec AntivirusCenter,ярлыкдлязапускакоторогоможнонайтиводноименномменю«Пуск».Послезапускаконсолибольшинствопунктовбудет заблокировано.Поэтому,чтобыпродолжитьработу,вменюSymantec AntivirusCenterтребуетсявыбратьгруппусерверов,скоторойпредстоит работать(поумолчаниюSymantecAntivirus1),и,вызвавконтекстное меню,перейтикпунктуUnlockServerGroup.Далеевводимимяпользователяипароль,которыйбылуказанприустановкеконсоли.Чтобывдаль-
которыйбудетиспользованприустановке.Поумолчаниюпредлагается текущий,поэтомуотмечаемеговправомокнеинажимаемSelect.Поя- витсяокно,вкоторомнеобходимоуказатьимяилиIP-адресклиентских компьютеров,накоторыебудетустанавливатьсяSymantecAntivirus.
Здесьтакжеможноиспользоватьзаранееподготовленныйфайл.После нажатиянаAddпроверяетсяответкомпьютера,поэтомупередзапуском мастераудаленнойустановкивсеклиентыдолжныбытьвключены.Для продолженияустановкипотребуетсяввестипарольадминистраторадоменаиликомпьютера.Далее,собственно,ипроисходитустановка.Через некотороевремяновыйкомпьютерпоявитсявовкладкесервера.
Настройка антивируса на клиентских машинах
Некоторыесвойстваизадачи,выполняемыекомпонентамиантивируса назакрепленныхклиентскихмашинах,можноредактировать,воспользовавшиськонтекстнымменю.Нодляудобстваадминистрирования компьютерыобъединяютвгруппы.Выставленныенастройкибудут действительныдлявсехклиентов,входящихвопределеннуюгруппу.
/ 136 |
xàêåð 07 /103/ 07 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
>>
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
ХАКЕР.PRO |
|
|
|
|
|
|||||
w Click |
to |
|
|
|
|
|
m |
|||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
КомпонентыSymantecSystemCenter
Приэтомбудетдоступнабольшаячастьнастроек.Итак,выбираемсвою группусерверов,внейнаходимярлыкGroups.Щелкаеммышкой,вконтекстномменюнасинтересуетпунктNewGroup.Впоявившемсяокне вводимназваниеновойгруппы.Используяраскрывающийсясписок
«Copysettingfromthisclientgroup»,можноимпортироватьнастройки,
сделанныедляоднойизимеющихсяранеегрупп.Впоследующемпроще отредактироватьнекоторыеизних,чемвыставлятьвсезаново.Внимание:некоторыенастройкитребуют,чтобыкомпьютерклиентабыл включен.Чтобыдобавитьклиентскиекомпьютерывовновьсозданную группу,следуетихпростозахватитьмышкойиперетащитьнаярлык группы.Есликлиентранеебылчленомоднойизгрупп,сначаланеобходимовыбратьвконтекстномменюпунктUnassignfromgroup,азатем уженазначитьемудругуюгруппу.Поокончанииможноприступатьк настройкам.
Впринципе,некоторыеоперациибудутпроизводитьсяиприустановкахпоумолчанию.Ноэтиустановки,какправило,неоптимальны.Да
иесливсекомпьютерывпикрабочегоднявдругначнутобновлятьсвои базыиливыполнятьполнуюпроверкудисковнавирусы,тоработакомпанииможетнесколькопострадать.Поголовеобычнозаэтонегладят
ипряниковнедают:).Поэтомущелчкоммышкипонужнойгруппе вызываемконтекстноеменюивыбираемпункт«Всезадачи»(AllTasks). Здесьдоступнонесколькоподпунктов:
1.LiveUpdate—указывается,скакогосервераLiveUpdateбудутпроизво- дитьсяобновлениянакомпьютерах,входящихвэтугруппу;
2.SymantecClientFirewall—централизованнаянастройкаклиентского межсетевогоэкранаотSymantec;
3.SymantecEndpointCompliance—централизованнаянастройкаVPN-
соединений;
4.SymantecAntiVirus—настройкаклиентскойчастиантивируса. Каждоеизэтихменюимеетсвоипункты,всевозможностиинастройкикоторыхдовольнопроблематичноописатьврамкаходнойстатьи. Скажутолько,что,какправило,каждоеподменюимеетдваосновных пункта:Logs,гдеможнонайтижурналы,иConfigure,гдепроизводятся основныенастройки.ИсключениесоставляетлишьSymantecAntiVirus, имеющийнесколькопунктовдлядоступакнастройкам.
Настройка обновлений
ИзвсехменюсейчаснасинтересуетлишьLiveUpdateиSymantec AntiVirus.ПоумолчаниювсеклиентыбудутобновлятьсясосновногосервераSymantecLiveUpdate,чтонерациональносточкизрения экономиитрафика.Настроимклиентовтак,чтобыониобновлялисьс
нашегосервераLiveUpdate.ДляэтогопереходимвподпунктLiveUpdate
—Configure,отмечаемInternalLiveUpdateServerизаполняемоткрыв-
шиесяполя.ОсновнымиявляютсяConnection,вкоторомследуетввести имяилиIP-адрессервераобновлений(поумолчаниюмыегоставили
Выборкомпьютераприустановкесервера
натотжекомпьютер,чтоисервер),иType,вкоторомвыбираетсятип сервера.ВполеDescriptionзаписываемкраткоеописаниесервера.Если длядоступаксерверуобновленийтребуетсялогинипароль,указываем ихвполеLogin.ЕсливсетиимеетсянесколькосерверовLiveUpdate,их можнозадатьвкачестверезервных.ДляэтогонажимаемNewизаполняемполя.
Итак,сервервыбран,теперьнеобходимоуказатьпериодичностьобновленияинекоторыедругиепараметры,касающиесяобновления.Выби-
раем«SymantecAntiVirusVirusDefinitionManager».Чтобыописания вирусовзабиралисьсосновногосервера,отмечаемфлажок«Update virusdefinitionfromparentserver»,затемнажимаемSettingиуказываем времявминутах.ДлязапросаобновленийчерезслужбуLiveUpdateот-
мечаемфлажок«ScheduleclientfromautomaticupdatesusingLiveUpdate»
и,нажавкнопкуSchedule,устанавливаемпериодичностьобновления. Хочуотметить,что,выбравAdvanced,можноустановитьслучайное времяиденьобновления.Вбольшихсетяхэтооченьудобно,таккак ненужнозабиватьсебеголову,когдабудутобновлятьсятеилииные группыикомпьютеры.Чтобызапретитьклиентамзапускатьобнов-
лениявручную,устанавливаем«Donotallowclienttomanuallylaunch LiveUpdate».Ачтобыразрешитьобновлятьсамипродукты,отмечаем
«DownloadproductupdatesusingLiveUpdate».
И,наконец,необходимонастроитьсамсерверобновлений.Находимв меню«Пуск»пунктLiveUpdateAdministrationUtilityивменюRetrieve Updatesотмечаемпродукты,длякоторыхследуетскачиватьобновления,иихязык.ВыборDetailsпозволитуточнитьпараметрыобновления дляконкретногопродукта.
Настройка сканирования
Настройкасканированияпроизводитсявтомжеменю.Возможнанастройкасканированиядлявсейгруппы.Выбравотдельныйкомпьютер, можнозадатьпараметрыиндивидуальногосканирования.Итак,выбираемScheduledScans,впоявившемсяокненажимаемNewизаполняем параметры.ВполеNameвводимимязадания,затемвполеFrequency выбираемчастоту(ежедневно,развнеделю,развмесяц)ивполесправавыбираемденьивремявыполнениязадания.Затем,перейдявScan Setting,выбираемтипзадания(QuickScan,FullScanилиCustomScan).
Чтобыуточнитьпараметрывыбранногозадания,нажимаемкнопку Options.Здесьможновыбратьтипыфайлов,сканированиеархивов, памятиипрочее.Временноотключитьзадание,неудаляяего,можно, снявфлажокEnablescan.Запуститьзадачувручнуюможно,выбравStart ManualScanдляодногокомпьютераилиStartScanдлягруппы.
Тонкаянастройкатакогопродукта,какSymantecAntivirusCorporate Edition,—делонеодногодня,требующеевнимательностиитщатель- нойпланировки.Заторезультат—защищеннаяилегкоуправляемая сеть.Успехов.z
xàêåð 07 /103/ 07 |
/ 137 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
||
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
||||
w Click |
|
|
|
||||||
|
>>m |
||||||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
.c |
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
||
|
|
|
|
-xcha |
|
|
|
ХАКЕР.PRO
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
|
|
|
X |
|
|
|
|
|
|||
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||
|
|
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
|
|
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пакетов–наконтроль!
СЛЕДИМ ЗА ТРАФИКОМ ПРИ ПОМОЩИ ПРОТОКОЛА NETFLOW
О системах подсчета трафика написано много. Но cnupm, trafd и прочие «считалки» — это сугубо утилитарные приложения, подходящие лишь для конкретных случаев. А что если подсчет трафика и представление его в красивой форме (например, на web-странице) не самоцель? Что если надо просто иметь возможность контролировать трафик, да еще приходящий с нескольких маршрутизаторов? В этом нам поможет протокол NetFlow.
etFlow—этопроприетарный,нооткрытыйпротокол, N изначальноразработанныйкомпаниейCiscoдлясвоего
железасцельюцентрализованногосбораинформациио сетевомтрафике.Однакотехнологияполучиласьнастолько
удачной,чтоееприменениеможновстретитьгдеугодно:начинаяот железокдругихпроизводителейизаканчиваяпрограммнымимаршрутизаторамипод*nix.АрхитектураNetFlowсостоитизтрехосновных компонентов:
1)сенсор;
2)коллектор;
3)обработчикданных,визуализатор.
Сенсорыустанавливаютсянавсеххостах(роутерах)сети,черезкоторые проходитисследуемыйтрафик.Сенсорысобираютинформациюо потокахтрафика(flows)иотправляютеепопротоколуUDPвцентрали- зованноеместосбора—коллектор.Коллекторсохраняетданныевбазе вбинарномnetflow-формате.Далееэтиданныемогутбытьпрочитаны ипредставленывчитаемомвидеспециальнымиутилитами-обработчи- ками,сохраненывреляционнойбазеданных,визуализированыввиде графиковиотчетовнаweb-страницеит.п.
Информацияопотокетрафика(flow)—этоинформацияободном сеансесетевогосоединения,содержащаясведенияобIP-адресахучас- твующихвсетевомвзаимодействиимашин,ихпортах(источникаи
получателя)итипеIP-протокола.Такимобразом,роутер,черезкоторый проходятпотокисетевыхсоединений,передаетинформациюобэтих соединениях(flows)наколлектор.
Записьокаждомсетевомсоединении(flowrecord)содержиттакую информацию,каквремяначалаиокончаниясоединения,количество переданныхбайтипакетов,IP-адресаисточникаиполучателя,портыи типIP-протокола.Этимизаписямиудобноманипулировать:подсчиты- ватьтрафик,генерироватьотчетыит.п.
NetFlow? Да!
Итак, мы будем считать трафик при помощи NetFlow. Точнее, не считать, а собирать информацию, ведь NetFlow именно собирает информацию о трафике, которую в дальнейшем можно обрабатывать. Подсчет трафика — это всего лишь одна прикладная задача. Так что будем строить систему контроля или учета трафика. Имея такую систему, администратор всегда может дать оперативный ответ на вопросы вроде: «Сколько трафика потребил каждый хост за произвольный промежуток времени?», «С какими хостами был проведен самый интенсивный обмен трафиком?», «Кто сегодня превысил лимит в 100 Мб входящего трафика?», «Кто, когда и откуда вытянул 20 гигов, за которые вышестоящий провайдер выставил нам счет?» и т.п.
/ 138 |
XÀÊÅÐ 07 /103/ 07 |