книги хакеры / журнал хакер / 119_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
|
F |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
|
P |
D |
|
|
|
|
|
|
|
|
o |
||
|
|
NOW! |
r |
|
|
|
|
|
NOW! |
r |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
to BUY |
|
>> ХАКЕР.PRO |
|
|
|
|
|
to BUY |
|
|
|
|
|
|
||||||
w |
|
|
|
|
|
|
|
|
|
m |
|
w |
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
o |
|
w Click |
|
|
|
|
|
o |
|||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
|
p |
df |
|
|
|
e |
|
|||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
g |
|
|
|
|||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
info |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
• Одно из преиму- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
ществ Active Directory |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
— повышение управ- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
ляемости сети. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
• За счет AD админист- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
ратор может центра- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
лизованно управлять |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
политикой паролей и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
тонко настроить доступ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
к общим сетевым |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
ресурсам. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
• Многие прило- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
жения изначально |
Редактирование Password Settings Container |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
поддерживают работу |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
с AD. Это упрощает |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
администрирование и |
Как и в предыдущих версиях, Enforce password history позво- |
и в раскрывающемся списке «Select which property to view» |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
уменьшает конфликты. |
ляет хранить историю паролей. Сейчас поддерживается до |
устанавливаем Optional или Both. Теперь в списке «Select a |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
1024 паролей. При правильном применении этой политики |
property to view» выбираем msDS-PSOAppliesTo и в поле Edit |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
• Использование |
пользователь вообще не сможет повторно использовать свой |
Attribute записываем учетные записи (в виде CN=u1,CN=Us |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
RODC позволяет |
пароль. Скорее, он его забудет. |
ers,DC=DC1,DC=server,DC=com) или группу. Нажимаем Add. |
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
назначить обычному |
Для загрузки FGPP применяются два новых класса: Password |
Аналогичным образом заносим все нужные учетные записи, |
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
пользователю права |
Settings Container и Password Settings. Управление новыми |
к которым будет применена эта политика. После чего смело |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
администратора сер- |
политиками осуществляется через объекты параметров паро- |
щелкаем Finish. |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
вера, не предоставляя |
ля Password Settings Object (PSO) с помощью Active Directory |
В дальнейшем, чтобы применить PSO к учетным записям или |
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
ему админских прав в |
Service Interfaces Editor (ADSI Edit) или LDAP Data Interchange |
группам, следует вызвать консоль «Active Directory Users and |
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
домене. |
Format (LDIF). Оба инструмента уже входят в состав систе- |
Computers», затем в меню View отметить Advanced Features |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
мы. Команда для запуска второго — ldifde, но для его работы |
и перейти в пункт <домен> System Password Settings |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• LDAP — относитель- |
необходимо создать файл с настройками (формат этого файла |
Container. Выбрав в контекстном меню Properties, вызыва- |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
но простой протокол, |
можно найти в документации Microsoft: support.microsoft. |
ем окно свойств контейнера, переходим в Attribute Editor, |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
использующий TCP/IP |
com/kb/237677). Я покажу, как работать с ADSI Edit. |
находим параметр msDS-PsoAppliesTo. В большом списке |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
и позволяющий про- |
Вызываем приложение, набрав в консоли adsiedit.msc. |
отыскать нужный параметр непросто, поэтому лучше, нажав |
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
изводить операции ау- |
Подключаемся к контексту именования, выбрав в меню |
кнопку Filter, исключить лишнее. Параметр Show attributes |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
тентификации, поиска |
пункт Connect to. В поле Name вводим полное FQDN-имя |
Optional должен быть активирован. Чтобы убрать параметры, |
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
и сравнения, а также |
компьютера и нажимаем ОК. Консоль подключится к серверу |
не имеющие значений, отмечаем «Show only attributes that |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
операции добавления, |
и выведет список объектов. Переходим к нужному контей- |
have values», затем вводим название учетной записи или |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
изменения или удале- |
неру DC=<домен>CN=SystemCN=Password Settings |
группы. |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
ния записей. |
Container. Создаем новый объект, выбрав в контекстном меню |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
New Object. Появится мастер Create Object, в первом окне |
Контроллер домена только для чтения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
которого («Select a class») отмечаем msDS-PasswordSettings |
Контроллер RODC поддерживает только одностороннюю реп- |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
и нажимаем Next. Теперь следует пройти все шаги мастера. |
ликацию, то есть все изменения на обычных КД реплицируют- |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
Для каждого Attribute в поле Value вводим его значение. Поле |
ся на RODC. Записать изменения в базу данных на локальном |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
Syntax подсказывает, в каком виде (числовом, буквенном или |
КД не получится. Все инициированные изменения вносятся |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
булевом) должен быть параметр, а в Description дано краткое |
не в саму реплику RODC, а в обычный КД, и только потом |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
его описание. |
реплицируются назад. Новый тип КД предназначен в первую |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
Все параметры, предложенные мастером, заполнены, но ос- |
очередь для удаленных филиалов, как правило, имеющих на |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
тался еще один — msDS-PSOAppliesTo, показывающий связи |
порядок меньший уровень защиты и подготовки персонала. |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
объекта. Поэтому в последнем окне выбираем More Attributes |
Компрометация системы или банальная кража системного |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
130 |
|
xàêåð 11 /119/ 08 |
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
F |
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
o |
||
|
|
NOW! |
r |
|
|
|
NOW! |
r |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
to BUY |
|
>> ХАКЕР.PRO |
|
|
|
|
to BUY |
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
o |
w Click |
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
p |
df |
|
|
|
e |
|
||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
n |
|
|
|
|
|||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
льи |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Создаем новый домен в новом лесу |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
дить RODC, а в поле «Specify the account credentials to use to perform the |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
installation» выбираем Alternate Credentials и указываем учетную информа- |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
цию администратора данного RODC. Далее все шаги совпадают с обычной |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
установкой КД. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Замена сердечного клапана |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Как видишь, новшества в реализации AD в Win2k8 носят далеко не косме- |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
тический характер. Новые возможности, единый интерфейс, упрощающий |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
управление, повышение безопасности — все это делает AD, построенную |
|
|
|
|
|
|
|
|
||
|
|
|
|
Установка репликации паролей для RODC |
на Win2k8, сердцем любой сети. z |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Несколькосоветов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
поповышениюбезопасностиAD |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
ActiveDirectoryявляетсясложнойсистемой,инеправильнаянастрой- |
политикибезопасности,делегированиеполномочий,разрешения. |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
каможетпривестикпечальнымпоследствиям.Помимотого,что |
Лес–основабезопасностивAD.Доменыиспользуютсядляупроще- |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
говорилосьвстатье,приведемещенесколькосоветовпоповышению |
нияподдержкиирепликации,аOUнужны,чтобыуполномочивать |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
безопасности,которыебудутполезныкакприиспользованииWin2k8, |
управлениевпределахдомена.Есливкомпаниидвесетисжесткими |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
такиWin2k3. |
ограничениямипозащите,лучшесоздатьдвалеса,настроивнужную |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
1.СобериинформациюповсемнастройкамActiveDirectory,начинаясса- |
степеньдоверия. |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
моговысокогоуровня:OU-структурам,установкамбезопасности,довери- |
3.Отключигостяипереименуйучетнуюзаписьадминистратора.Это |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
тельнымотношениямит.д.ДлясбораинформацииоGPOможноиспользо- |
уменьшитвероятностьвзломапутемпереборапароляилииз-занепра- |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
ватьGroupPolicyManagementConsole(GPMC),котораявключенавWin2k3 |
вильнойнастройкидоступа. |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
R2.ДляWinXPилиWin2k3ееможноскачатьсостраницыgo.microsoft. |
4.Используйсписокконтролядоступаслужбы,которыйнаходитсяв |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
com/fwlink/?LinkId=62610.Послеустановкив%programfiles%\gpmc\ |
GroupPoliceManagementвовкладкеComputerConfigurationWindows |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
scriptsбудетдоступенрядскриптов,подробнаяинформацияпониместь |
Settings SystemServices.Чтобыактивироватьслужбу,вызываем |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
вдокументе«GroupPolicyManagementConsoleScriptingSamples»наmsdn. |
черезменюPropertiesокноеесвойств,взводимфлажок«Definethis |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
microsoft.com.Например,GetReportsForAllGPOs.wsfпозволяетполучить |
policysetting».УказываемрежимзапускаивEditSecurityустанавливаем |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
списоквсехGPOвLDIF-файле: |
разрешения.Помимостандартных,естьещеболее10пользовательских |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
разрешенийбезопасности.Есликакая-тослужбаненужна,просто |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
> GetReportsForAllGPOs.wsf c:\reports |
отключиееавтоматическийзапуск.Такмыуменьшимколичество |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
уязвимыхмествсистеме. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Неплохойпрактикойстанеттестированиеновыхполитик(например,в |
5.Используйслужебнуюучетнуюзаписьипарольдляслужбы,которой |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
виртуальноймашине)передихреальнымприменением. |
требуетсядоступкдругомукомпьютеру.ЭтонастраиваетсявGroup |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
2.Используйоптимальнуюибезопаснуюмодельадминистрирования. |
PoliceManagementComputerConfigurationControlpanelSetting |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Каждыйадминистратордолженработатьвпределахсвоихограниче- |
Services.ДалеевыбираемвконтекстномменюNewServiceивпоявив- |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
ний.Использованиеприадминистрированииучетнойзаписисболь- |
шемсяокнеNewServicePropertiesуказываемслужбуиучетнуюзапись. |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
шимиправами,чемэтонеобходимодлявыполнениязадачи,неоправ- |
Ранеедляэтихцелейприходилосьзадействоватьучетнуюзаписьс |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
даноинебезопасно.Дляэтогоестьнескольковариантов:встроенные |
правамивплотьдоадминистраторадомена. |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
132 |
xàêåð 11 /119/ 08 |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
C |
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
||||||
|
- |
|
|
|
|
d |
|
|
- |
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
i |
|
|
F |
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
o |
||
|
|
|
NOW! |
r |
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
|
ХАКЕР.PRO |
|
|
|
|
|
|
|
||||||||
|
|
|
|
to>>BUY |
|
|
|
|
|
to BUY |
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
o |
w Click |
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
e |
|
|
|
p |
df |
|
|
|
e |
|
||||
|
|
|
|
g |
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Андрей Матвеев |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/ andrushock@real.xakep.ru / |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Безопасность |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
черезмаскировку |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Приемыискусноймаскировкивбоевыхусловиях |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Интернет — это опасная и враждебная территория. Сотни злоумышленников |
|
|
|
|
|
|
||||||||||
|
|
|
|
|
могут проверять и испытывать твою сеть 24 часа в сутки, 7 дней в неделю. |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Не стоит полагаться только на брандмауэр. Применяй комплексный под- |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
ход к защите — с привлечением нестандартных приемов обеспечения безо- |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
пасности. |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
В авангарде сетевого мостостроения |
# echo "up" | tee /etc/hostname.vr{0,1} |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Всеголишьнесколькимикомандамиможнопревратитьобычный |
# chmod 600 /etc/hostname.vr{0,1} |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
компьютерклассаPentium-1сдвумясетевымикартаминабортув |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
интеллектуальныйкоммутатор,соединяющийразличныесетимежду |
Примечание:здесьидалеепредполагается,чтомыработаемвOpenBSD4.4. |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
собой.Так,чтокомпьютеризоднойсетибудетобщатьсяскомпьютером |
Настроиммосттак,чтобыонсвоимисиламиблокировалтрафик, |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
издругойбезучастиямаршрутизатора!Причем,подобныйсетевой |
отличныйотIP,например,соединенияпопротоколамIPXилиNETBEUI |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
мостпозволитфильтроватьвходящийиисходящийтрафик,выпол- |
(опцияblocknonip),изапрещалперенаправлениешироковещательных |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
нятьнормализациюидефрагментациюIPv4 пакетов,нарезатьканал, |
пакетов(опцияlink0): |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
организоватьпривязкуIP-адресовкMAC’ам,противодействовать |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
DOS-атакам,попыткамсканированияиспуфинга.Чтоинтересно,мост |
#vi/etc/bridgename.bridge0 |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
можносделатьпрозрачным(транспарентным;когданиодномуиз |
add vr0 |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
сетевыхинтерфейсовненазначаетсяIP-адрес)либополупрозрачным |
add vr1 |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
(внешнийинтерфейснаделенсетевымадресом,авнутренний—нет). |
blocknonip vr0 |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Стоитотметить:внезависимостиоттипамостазадействованныесете- |
blocknonip vr1 |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
выеинтерфейсыбудутавтоматическипереведеныврежимприемавсех |
link0 |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
пакетов,чтоможетвызватьнедовольствосостороныпровайдера. |
up |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Стеоретическойчастьюзакончили,переходимкпрактике.Чтобысоздать |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
прозрачныйсетевоймост,первымделомнужноподнятьинтерфейсыvr0и |
Теперь достаточно перезагрузиться либо набрать команды |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
vr1(этокарточкиначипсетеVIARhineII),неуказываяихсетевыенастрой- |
«ifconfig bridge0 create; brconfig bridge0 `cat /etc/ |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
ки,ивыставитькорректныеправадоступакфайламконфигурации: |
bridgename.bridge0`», и прозрачный мост начнет пропускать |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
134 |
xàêåð 11 /119/ 08 |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|