Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Павел Гарбар, Алексей Пономарев, Андрей Ланцов, Вадим Лушин,
Сергей Болобон, Ольга Андреева, Николай Рябов
Сервер, использованный в предыдущем опыте, был переустановлен в качестве первичного доменнного контроллера.
Кроме пользователя Administrator были созданы еще 3 пользователя User 1, User 2, User 3 и помещены в группу Domain Users. Пользователи успешно регистрировались в домене, но при попытке доступа к Web-серверу, как и положено, включалась процедура авторизации на FireWALL. Пользователи User 1-3 не могли пройти авторизацию, а Admini-strator мог. Дело в том, что для авторизации в FireWALL for NT пользователи должны иметь право ╚Logon locally╩, которого нет у группы Domain Users. Однако, через какое-то время (не более 2 минут, несмотря на нажатие кнопки ╚refresh╩) в окне текущих соединений появлялась запись о разрешении доступа к сервису Web пользователю User 1-3. Когда группе Domain Users было дано право ╚Logon locally╩, то авторизация пользователей стала проходить без проблем.
Авторизация пользователей с использованием одноразовых паролей MD 4/MD 5 доступна для сервисов FTP и Telnet. В разделе ╚Users Authentication╩ для каждого пользователя, требующего использования одноразового пароля, выбирается схема MD 4, MD 5 или обе, задается количество разрешенных регистраций и вводится секретный пароль. Если выбраны обе схемы, то по умолчанию применяется MD 5. Длина секретного пароля должна составлять не менее 9 символов. Количество разрешенных регистраций не может быть менее 4. При каждой регистрации число разрешенных
попыток уменьшается на 1, по достижении числа 4 ≈ регистрация прекращается.
Для использования одноразовых паролей на рабочей станции пользователя должен быть ╚OTP calculator╩ ≈ программа Calc 32.exe. Она используется для генерирования одноразового пароля по дайджесту, полученному в момент регистрации от FireWALL, и секретному паролю пользователя. Полученный ответ вводится пользователем в строку пароля.
Для проверки было создано правило для сервиса FTP, которое требовало авторизации пользователя с использованием одноразового пароля. Пользователю User 2 была назначена схема MD 5, выбран пароль и установлено количество соединений 6.
После этого была предпринята попытка обратиться к FTP-серверу из браузера Netscape Navigator. В результате было получено сообщение об ошибке, что пользователь неизвестен. Каких-либо приглашений к регистрации не было.
Воспользовавшись утилитой командной строки ftp.exe, было получено приглашение от FireWALL зарегистрироваться на FTP-сервере и в FireWALL в виде ╚имя_пользователя ftp сервера $$$$ имя пользователя FireWALL╩, после этого надо было ввести пароль FTP-сервера. В ответ был получен дайджест от FireWALL и приглашение ввести пароль для FireWALL. Набрав дайджест и секретный пароль от OTP-калькулятора, получили одноразовую последовательность символов, введя которую в качестве пароля, успешно завершили регистрацию и получили доступ к содержимому FTP-сервера. Однако, будучи зарегистрированными таким образом, мы не получили доступа из браузера.
Когда разрешенное число регистраций достигло 4, было отказано в доступе к FTP-серверу.
FireWALL for NT обладает богатыми возможностями для оповещения администратора о происходящих событиях, таких как попытки атак и ошибках в работе. Это и фиксация событий в журнале аудита, и рассылка SNMP-сообщений, и уведомление по электронной почте и пейджеру.
Одно из критических свойств любого брандмауэра (межсетевого экрана) ≈ это ведение журнала событий. В FireWALL for NT можно включить ведение журнала, указать какого уровня события фиксировать ≈ критические ошибки, предупреждения и информационные, а также указать размер файла журнала. В документации не сказано как ведет себя FireWALL при достижении этого предела, а это очень важно, т. к. последствия могут быть очень печальны. Есть несколько сценариев развития событий. Первый ≈ при достижении порога обрушивается ОС. Второй ≈ останавливается сервис FireWALL. Тут возможны 2 варианта: а) запрещение прохождения всех запросов; или б) FireWALL останавливается, а включается встроенная маршрутизация Windows NT ≈ тогда сеть становится беззащитной. Третий ≈ FireWALL продолжает работать, а журнал закрывается. В этом случае новые атаки останутся незамеченными. Четвертый ≈ Fire WALL продолжает работать, а журнал заполняется новыми записями взамен старых. В этом случае злоумышленник может замести следы своего присутствия.
В обновленном README от 23 ноября 1999 г. сказано, что, несмотря на установленный максимальный размер файла журнала, он продолжает заполняться записями. При очень большом файле можно получить сообщение об ошибке от Dr. Watson. Рекомендуется установить критический уровень фиксирования событий.
В Traffic Manager по этому поводу сказано, что при достижении файлом журнала максимального размера, он один раз сохраняется в виде резервной копии, а в последующем эта копия заменяется новой. Traffic Manager также может послать предупреждение о том, что размер файла журнала близок к своему максимуму. Это дает возможность администратору заблаговременно сохранить предыдущую копию.
При проведении испытаний было замечено, что из внешней сети поступали запросы с портом назначения 138. Эти запросы отвергались, а события фиксировались в журнале. Проведя дополнительные изыскания, было установлено, что порт 138 соответствует сервису дейтаграмм NetBIOS-dgm. В правилах был создан новый сервис NetBIOS-dgm с портом 138, но в журнале регистрации, даже после перезагрузки компьютера, так и не появилось расшифровки номера порта 138.
Пример записей журнала событий (.gif)
Изначально при установке ОС встроенная маршрутизация была отключена. При этом FireWALL for NT, работая в режиме трансляции адресов, обеспечивал работоспособность Web-клиентов. Ping из внутренней сети не работал, даже при создании соответствующего разрешающего правила. Включение встроенной маршрутизации позволило делать ping из внутренней сети.
Traffic Manager оптимизирует пропускную способность сети, эффективно выделяя необходимые ресурсы пользователям и приложениям. Он позволяет быть уверенным в том, что критичные приложения и важные пользователи получат необходимую производительность, даже в моменты высокой нагрузки сети. Администратор может выделять пропускную способность и назначать приоритет трафику, используя удобные правила.
Поскольку Traffic Manager тесно интегрирован с FireWALL, то весь проходящий трафик обрабатывается только один раз, тем самым достигается максимальная эффективность и высокая производительность.
Novell рекомендует устанавливать FireWALL и Traffic Manager на одном компьютере.
Сервер.
Для компьютера с постоянным трафиком порядка 40 Мб/с рекомендуется следующая конфигурация:
Для компьютера с постоянным трафиком более 40 Мб/с рекомендуется следующая конфигурация:
Обязательные условия:
Замечание. Token Ring и SMC сетевые платы не поддерживаются!
В соответствии с документацией для пользователей был создан сценарий регистрации, в котором запускалась программа Nroadscr.exe для профилирования трафика пользователей. Реально объем трафика отслеживается по IP-адресу. Поэтому, при использовании DHCP, надо время аренды адреса устанавливать достаточно большим, чтобы пользователь с большей вероятностью получил тот же адрес при следующей регистрации.
Согласно файлу README, рекомендуется не копировать и вставлять правила для их последующего изменения, а создавать новые.
В свойствах правила есть 2 функции ≈ Measure (Измерять) и Control (Контролировать). Созданное правило не будет работать до тех пор, пока не будет задействовано хотя бы измерение. Измерение позволяет делать профилирование и вести статистику. Для того чтобы выделять пропускную способность и назначать приоритеты, надо включить контроль трафика.
Важной способностью Traffic Manager▓а является возможность использовать в правилах пропускную способность. В правиле можно задавать минимально гарантированную и максимально допустимую пропускную способность, а также уровень приоритета этого правила, в случае, когда пропускной на всех не хватает.
Был проведен предварительный замер скорости приема файла размером в 17 МБ с FTP-сервера с помощью браузера Netscape Navigator. Устоявшаяся постоянная скорость составила примерно 630 КБ/с.
Было создано правило с нижним порогом 100 Кб/с и верхним 300 Кб/с. Файл принимался со средней скоростью примерно 40 КБ/с. Это означает, что ограничение трафика реально действует, но скорость приема оказалась больше выделенного максимума. Возможно, это связано с разными алгоритмами вычисления скорости передачи данных у этих программ, а также с отсутствием реального соревнования за пропускную способность, т. к. был доступен лишь один клиент для испытания. При более жестких условиях ≈ 10 Кб/с минимум и 100 Кб/с максимум, скорость приема была постепенно снижена до 10 КБ/с, что, примерно, соответствует 100 Кб/с.
Еще одно исследованное замечательное свойство ≈ верхний и нижний порог скорости можно менять динамически! Скорость начинает меняться сразу после посылки измененного правила на Traffic Manager.
FireWALL гуманно применяет правила. Было создано правило с ограничением времени использования FTP-сервиса. Искусственно была создана ситуация, когда прием большого файла должен был завершиться после окончания срока доступа. FireWALL дал докачать файл! Но и не поступился правилами ≈ не позволил начать новые FTP-сессии.
В данной реализации Traffic Manager поддерживает только ╚мягкое╩ ограничение доступа к сервисам. Это означает, что в случае нехватки пропускной способности, новые сессии будут разрешаться, но им не будет гарантироваться выделение пропускной способности.
Если у вас есть вопросы к членам NUG SPb или вы хотите получать информационную рассылку NUG, обращайтесь к Дмитрию Сафронову (президенту NUG SPb, ) или Александру Горячеву (секретарь NUG SPb, ).
Скриншоты (архив)
Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей
