книги хакеры / журнал хакер / 105_Optimized

>>

Админка Netams

Программазапрашиваетимяпользователяипароль.Есливконфигеты ничегонеменял,тологинбудетadmin,апароль—aaa.

Послеавторизациипрограммаготовакобработкекоманд.Netams представляетсобойдемониимеетвсвоемарсеналенесколькосервисов, каждыйизкоторыхвыполняетопределеннуюзадачу.Всесервисы работаютвотдельныхпотоках,аихсвойстваописываютсявконфигурационномфайле.

1.Сервисmainвконфигенеуказан,посколькупредставляетсобойглавныйпоток,сисполнениякоторогоначинаетпрограмма.Онопределяет основныесвойствавсегопроцесса,считываетиразбираетконфигурационныйфайл,запускаядругиесервисы,иостанавливаетсядозавершения работыnetams.Приподачекомандkill,shutdown,reload,возникновении критическогосбояилиполучениисигналаSIGQUIT,сервисmainпросыпаетсяипытаетсяостановитьвседругиесервисы,чтобыкорректно закрытьбазуданныхиубратьперехватчикипакетов.

2.Сервисprocessorявляетсяядромnetams.Именновнемопределяются правилаучетаисписокобъектов,покоторымбудетпроизведенучет.Вообще,всекомпонентысистемыобмениваютсямеждусобойсообщениями,напримерзапросамикБДилиданнымиотрафикезанекийинтервал времени.Processorобеспечиваетдиспетчеризациювсехсообщений.

Всеговозможентолькоодинprocessorнаэкземплярпрограммы.

3.Сервисserverпозволяетприсоединятьсякработающейпрограмме черезTCP-сокет;спомощьюразличныхкомандможноуправлятьпро- граммойисниматьстатистику.

4.Сервисdata-sourceобеспечиваетпоступлениеданныхотрафике внутрьпрограммы.Внастоящеевремяможетобрабатыватьсятолько информацияобIP-трафике.ВкачествеисточниковданныхобIP-тра- фикемогутвыступатьсредстваперехватапакетовсистемFreeBSD(bsddivert),Linux(ip_queue),средствапрослушиваниясетевогоинтерфейса (libpcap/bpf),атакжестатистикаNetFlow,приходящаяотмаршрутизаторовCisco.Кстати,естьвозможностьсборастатистики,например,о работепочтовойсистемыилиproxy-сервера.

5.СервисstorageопределяетБДдляхранениястатистики.Этоможет бытьстандартныйUNIXhash,которыйестьвлюбойсистеме,илибаза данныхSQL,расположеннаяналокальнойилисоседнеймашине.

Статистикасуществуетвдвухформатах:rawилиsummary(воднойбазе можнодержатьодинизформатовилиобасразу).

6.Сервисalerterпозволяетадминистраторуорганизовыватьотправку себеилипользователямотчетаопрошедшемиучтенномтрафике,о деятельностисистемыипрочем.

7.Сервисschedulerобеспечиваетвыполнениезаданныхкомандв запланированноевремя.Это«виртуальный»сервис,таккакзапускается всегдаавтоматическиинетребуетконфигурирования.Здесьважны толькозапланированныекоманды,списоккоторыхвыводитсявконфигурационномфайлепослеперечисленияпользователей.

8.Сервисhtmlотвечаетзаавтоматическоесозданиестатическихhtmlстраниц,содержащихинформациюопрошедшемтрафике,оработе системыипрочемзаопределенныйпериодвремени.Этистраницы(при соответствующейконфигурацииweb-сервера)впоследствиимогутбыть

Простейший файл конфига

просмотреныклиентомбезотвлеченияпрограммыотработы.

9.Сервисmonitorорганизуетмониторингзаданныхюнитовдлясбора информациипоотносящемусякнимтрафику.

Попробуйнабратькомандуshowconfig,азатем—html.Перваяпокажет конфиг,которыйзагруженвпамять,автораясоздастhtml-файлыв каталоге/usr/local/www/stat;внихбудетотображенавсястатистикана текущиймомент.

Еслитыправишьконфигнепосредственноизфайла,обязательноперезапускайдемон.Дляправкиконфиганужноучестьдваправила:

1.Всесервисы,описанныевконфиге,должныотделятьсядруготдруга пустойстрокой.Этопозволитпрограммеувидетьзавершениеописания одногосервисаиначалоописаниядругого.

2.Придобавленииновогопользователякатегорическизапрещается вручнуювноситьегозаписьвконфиг.Этоможносделатьспомощью сервисаprocessor,которыйавтоматическиназначитпользователюидентификаторидобавитнеобходимыезаписивбазуданных.

Настройка html-интерфейса

Netamsавтоматическисоздаетhtml-страницы,спомощьюкоторыхмож- нокакадминистрировать,такисмотретьстатистику.Периодгенерированиястраниц,путьдокаталогаинекоторыедругиенастройкиможно изменитьвконфигурационномфайле,всекцииServicehtml.Естественно,длятогочтобыобращатьсякстраницамизбраузера,нужноиметь настроенныйизапущенныйweb-сервер.ВслучаеApacheвnetams.cfgдля сервисаhtmlследуетпрописатьстрочку«path/usr/local/apache/htdocs».

Немногозабегаявперед,скажу,чторядомсбинарником,стартующим демон,расположенфайлhetamsctl,которыйпредставляетсобойэмуляторtelnet.Онможетвыполнятьабсолютновсефункции,которыебудут переданывкоманднойстроке.Так,например,чтобыспомощьюобыч- нойtelnet-сессииустановить100Мбжесткойквотывходящеготрафика пользователюPupkin,нужновыполнитьследующиеоперации:

$ telnet localhost 20001 >login:

>password:

...

>service quota 0

>set name Pupkin month 100M in >exit

Тожесамоеможнопроделатьспомощьюодной-единственнойкоманды, неподключаяськtelnet’у:

# /usr/local/sbin/netamsctl "service quota 0 && set name Pupkin month 100M in && exit"

Самоеприятноевовсемэтом,чтотакиепараметрыможнопередавать абсолютноизлюбогоместа.ВтомчислеиизCGI-скриптов.Кнашему счастью,разработчикипакетапостаралисьинаписалинаборскриптовдля

ХАКЕР.PRO

Подробная статистика в html-странице

работысразнымисервисами.НайтиегоможновдистрибутивеNeTAMS,в каталоге./cgi-bin.Еслиположитьвсефайлыизэтогокаталогавпапкуcgi- binнасервереинабратьвадреснойстрокебраузера«http://localhost/cgibin/admintool.cgi»,наснезамедлительноперекинетвадминку.

Добавляем пользователя

Длятогочтобыдобавитьновогопользователяилигруппу,подключаемся кtelnet’у,вводимимяпользователя,парольипишем«serviceprocessor». Послеэтогоможнодобавлятьпользователя:

>unit user name Pupkin ip 192.168.0.10 email Pupkin@ domain.ru

parent CLIENTS acct-policy ip www mail >exit

>save

Затемвводимshowconfigисмотрим,чтобыпользователюприсвоился OIDи,самоеглавное,чтобыстрока«acct-policyipwwwmail»былаполно- стьюибезошибок,иначеничегоработатьнебудет.

Все,послеэтогоможноустановитьпользовательскуюквоту:

>service quota 0

>set name Pupkin month 100M in >exit

Политики учета

Длятогочтобыпрограммасчиталапоступающийтрафик,ейнужно знать,чтоонсобойпредставляетикаквыглядит.Вконфигурационном файлеможновстретитьпримернотакиестроки:

policy oid 01B148 name ip target proto ip

policy oid 010A1F name www target proto tcp port 80 81 8080 3128

policy oid 091C21 name mail target proto tcp port 25 110

Послесловаnameуказываетсяимяполитики.Этотпараметрможно изменятьпосвоемуусмотрению.Авотпараметрtargetописываетпрототипправила,покоторомубудетвестисьучет.Протоколымогутиметь следующиезначения:

ip — весь IP-трафик; icmp — ICMP-трафик; tcp — TCP-трафик; udp — UDP-трафик.

Политикадобавляетсявсервисеprocessorвформате:

policy [oid OID] name NAME [no] target TARGET

[bw { speed in speed out | speed } ]

Вбоевыхусловияхэтобудетвыглядетьтак:

>service processor

>policy name ip target proto ip >policy name tcp target proto tcp >policy name udp target proto udp >policy name trash target proto ip

Такимобразом,приграмотномиспользованииполитикможнодостаточночеткоразграничитьучеттрафика.Присозданииновогоюнитаважно незабыватьдобавлятьвконецстрокинужныеполитики.Ещеодинмомент:покапакетыбудутсчитатьсяпополитикеip,тебенеудастсявявном видескалькулироватьвесьUDP-иTCP-трафик.Чтобыприсовпадении политикидальнейшийподсчетпрекратился,нужноиспользоватьзнак%.

>unit host name Pupkin ip 192.168.0.10 acct-policy ip %tcp %udp trash

Безопасность

Посколькуnetamsзапускаетсясправамиrootиотвечаетзаподсчет небесплатноготрафика,защитевсейсистемыследуетуделитьсамое пристальноевнимание.Существуетнесколькопотенциальнонебезопасныхнаправлений:

1.Взломзащитысамойпрограммы.

2.Взломоперационнойсистемычерезпрограмму.

3.Действия,приводящиекневерномуучетутрафика.

Подостовернымсведениям,насегодняшнийденьниодногослучая взломапрограммызарегистрированонебыло. Несанкционированныйдоступкпрограммевозможенпутемраскрытия

пароляиприсоединениякпрограммечерезtelnet.ЭтоособенноактуальноприиспользованиигенераторастатистикиHTML.Дляуменьшения рисканужносделатьследующее:

1.Установитьправаначтениеконфигурационногофайлаилог-файлов толькодляпользователяroot.

2.УстановитьжесткиеправаначтениелокальныхфайловHTML-статистики.

3.Средствамиhttp-сервераустановитьправанапросмотрстатистики «извне»толькотем,комунужно.

4.Разрешитьвозможностьлогинавпрограммутолькослокальной машины:

service server 0 login localhost

5.ОтрезатьправиламиIptablesилилюбогодругогофайрволатвоей системынелокальноеподключениекпрограмме:

# iptables -A PREROUTING -i eth0 -p tcp --dport 20001 -j DROP -t nat

Подводим итоги

Впринципе,все,чтонужнознатьдляначалаработыспакетомNeTAMS, ярассказал,но,разбираясьвовсехтонкостяхнастройкиидобиваясь стабильногоибезошибочногофункционированияпрограммы,тынераз ещебудешьвдумчивокуритьмануалыишерститьфорум.Отсебямогу добавить,чтопользуюсьNeTAMS’омужеболеедвухлетивполнедоволен всемиеговозможностями.Новыбор,каквсегда,затобой.z