книги хакеры / журнал хакер / 138_Optimized

ФормируемWMI-запрос

Фильтрпозволяетбыстроотобратьинтересующиесобытия

Файл может содержать специфические установки (размер экрана, количество цветов, порт подключения и т.п.) для каждой утилиты.

Удобно, что RCM-файл после редактирования можно просто скопировать на другие системы и не возиться с настройками на каждой из них. Но Hyena поддерживает и сетевые ресурсы, на которых размещаются такие файлы. Их следует указать в настройках при помощи ".RCM file configuration directory path", после чего требуется перезапуск Hyena.

ДОБАВЛЕНИЕСОБСТВЕННЫХУТИЛИТ

При знакомстве с возможностями Hyena бросается в глаза пустой пункт Custom Tools. Разработчики не стали ограничивать админа стандартными решениями и оставили возможность добавить любой инструмент, который можно быстро вызвать из контекстного меню или при помощи комбинации

Ctrl-F[1-9]. Настройки утилит производятся в панели Tools – Settings – Tools, вся введенная информация

Настройкаудаленногоуправления

сохраняется в файле tool_cmds.dat, который также можно переносить между компьютерами, чтобы не повторять настройки. Для удобства использования инструменты можно разделить на группы (субменю), которые создаются при помощи New – Submenu. При добавлении инструмента указываем его название и вводим команду, которая будет выполнена при щелчке на пункте. В командной строке поддерживается ряд специальных символов:

%S% – имя текущего сервера, с которого выполняется запрос. Некоторые команды требуют наличия обратного двойного слэша "\\", в таком случае в команду запуска его следует добавить самостоятельно;

%E% – подстановка текста из активного окна, которое появится при выборе объекта;

%G% – группа, в которую входит пользователь, выполнивший запрос;

%HOSTNAME% – возвращает NETBIOS или DNS-имя компьютера (необходимо установить флажок Tools – Settings – Active Directory – Use DNS computer paths);

%Px% – параметры пользователя, их всего три: %P1% – первый, %P2% – второй, %P3% – третий; %Px:prompt% – параметр пользователя, вводимый по запросу;

%Px:prompt/PWD% – то же, только с вводом пароля.

ЗАКЛЮЧЕНИЕ

Как видишь, возможностей у Hyena очень много, и они покрывают все потребности среднестатистического админа. Это понятный и хорошо продуманный инструмент, позволяющий централизованно и без лишних усилий управлять системами в локальной сети.z

warning

Чтобыиметьвозможностьподключаться кудаленнойсистеме поRDP/VNC,следует вовремяустановкиот-

метитьRemoteControl Manager.

info

•Обосновных способахудаленного управленияивыполнениякомандчитай в][ 03.2010 встатье

«Незримоеприсутствие».

•ДляработысAD Hyena используетнекоторыеинструменты изRSAT (Remote Server Administration Tools) или

AdminPak (Microsoft Administration Tools).

HTTP://WWW

links

Сайтпроекта– systemtools.com

PACKETTRACERT

Разработчик:CiscoSystemsInc.

Web:cisco.com/web/learning/netacad/course_ catalog/PacketTracer.html

ÎÑ:WindowsXP/Vista/7,Linux(Ubuntu,Fedora) Лицензия:бесплатнодлязарегистрированных преподавателейистудентовкурсов.

УмениеработатьсоборудованиемCiscoвсегда являлосьжирнымплюсомприприеменаработу, однакооплатитькурсыилиприобрестициску (дажеб/у)можетдалеконекаждый.Вероятно, поэтомуколичествокошачьихэмуляторов растетизгодавгод,ионипользуютсяпопулярностьюуадминовижелающихимистать. Используяэмулятор,можносамостоятельно подготовитьсякполучениюсертификатовCCNA (CiscoCertifiedNetworkAssociate,СертифицированныйCiscoСетевойСпециалист),«перепробовав»вседоступныедевайсыипонастраивавсеть. ОбзорначнемсофициальнойразработкиCisco

—эмулятораPacketTracert,предлагаемого отделениемNetworkingAcademy,отвечающимза образованиеиподготовкуразличныхкурсов.Задачапрограммы:помочьзакрепитьнапрактике полученныестудентомтеоретическиенавыки. ДляеерешенияPTобладаетвсемнеобходимым, позволяя«строить»сетиразличнойсложностис практическинеограниченнымколичествомустройств.Всеустановкипроизводятсяприпомощи логическойдиаграммысети,длясимуляции представленвесьспектроборудования,выпускаемогоCisco(роутеры,свитчи,точкидоступа ит.п.).Можноизменятьнастройкиобъектов, моделироватьпотокиданныхимногоедругое. Поддерживаетсябольшоеколичествопротоколовитехнологий,используемыхвоборудовании Cisco(полныйсписоксмотривдокументациина сайте).Работасоборудованиемхотьивиртуальна,новыглядиттак,будтоприходитсяисполь-

зоватьреальныеустройства.Можнодобавлять платырасширения,настраиватьпараметрыв команднойстрокеилииспользуяграфический интерфейс.Весьпроцессобменаданными представленввидедиаграммитаблиц,чтопомогаетвизуальнооценитьтекущиенастройкии работуоборудования.Официальновсвободном доступеPacketTracertненайти,онпредназначен толькодлязарегистрированныхпреподавателей

èстудентовкурсов(егоможнонайтинадисках, прилагаемыхкнекоторымкнижкампоцисковс- кимкурсам).Но—нехитрыйзапроскгуглу,

èнужнаяпрограммабудетутебянахарде.Во времяустановкиникакихключейнетребуется, сампроцессстандартен.Всенастройкипроизводятсявбольшомокнепосередине.Внизуслева находятсягруппыустройств,послевыборачуть правеепоявляютсясамиустройства.Отмечаем нужноеидвойнымщелчкомнасвободномместе вполепосерединепереносимегонакартусети. Поддержкаdrag'n'dropделаетпроцессочень простым,устройствазатемможнодвигать, удалятьит.п.Удобно,чтоPTсамостоятельно связываетнекоторыедевайсы,например,при появленииWirelessсвитчакнемуавтоматически подключаютсявсеустройства,поддерживающиеэтотвидсоединения.Припротяжкекабеля выбираемпорт,ккоторомуегоподключаем. Одиниззначковотвечаетзаавтоматическоеопределениетипасоединения,чтоускоряетсборку сетинастадииизучения.Есливпроцессебудет допущенаошибка,топользовательполучает предупреждениескраткимописанием(например,нетсвободногоразъема).

ПокавсенастройкилогическойсетипроизводилисьвовкладкеLogicalWorkspace(Ctrl+L). Чтобыперейтикфизическомуустройствуи посмотретьпорядокподключения,следует выбратьвверхнемлевомуглувкладкуPhysical

Workspace(Ctrl+P).ТакжеPTпредоставляет дварежимаотображенияработысети:Realtime Mode(Ctrl+R)иSimulationsMode(Ctrl+S). Переключениепроизводитсяприпомощи ярлыковвправомнижнемуглуилигорячих клавиш.ВRealtimeсетьработаетвобычном режиме,врежимеSimulationsможнонаблюдать иконтролироватьпроцессы,происходящиев сети(работуустройств,интервалывремени,механизмыпередачиданныхит.д.)МастерActivity Wizardпоможетсоздатьсобственныеучебные сценарии.Осталосьдобавить,чтопредусмотренаработавмногопользовательскомрежиме,а такжедоступнонесколькопособийпонастройке Ciscoисправочнаясистема,помогающаяразобратьсявовсехвозможностях.

ЭМУЛЯТОРDYNAMIPS

Разработчик:OpenSource

Web:http://www.ipflow.utc.fr/index.php/ Cisco_7200_Simulator

ÎÑ: Windows2k/XP/Vista,x32/x64Linux,Mac OSX

Лицензия:GNUGPL

ПроектDynamipsстартовалвавгусте2005года какэмулятормаршрутизатораCisco7200наПК ипредназначалсядляпроверкиконфигурации передиспользованиемнанастоящемоборудованииидляобучения.СегодняDynamipsможет эмулироватьидругиеплатформыCisco—серии 3600,3700и2600.Причемсвыборомразных вариантовустройств:CPU(MIPS64иPowerPC), RAM(DRAM,PacketSRAM,NVRAM),различных типовкартипортов.Предусмотренавозможностьсозданиявиртуальныхмостовикомму- таторов.Главнаяособенность—эмулируемое устройствоможноподключитькреальнойсети, длячегоодинизвыходоввиртуальногомаршрутизаторасвязываетсясреальнойсетевой

картой.Работаврежимегипервизорапозволяетраспределитьнагрузкуна несколькосистем,ведьIOS(InternetOperatingSystem)образыполностью загружаютсявОЗУиприбольшомколичествевиртуальныхсистемотбираютмногоресурсов.

Нужныйпакетдоступенврепозиторияхнекоторыхдистрибутивов Linux.Длязахвататрафикаиспользуетсябиблиотекаpcap,приустановкевWindowsпотребуетсясамостоятельноинсталлироватьWinPCAP.В Ubuntu/Debianустановкапроста:

$ sudo apt-get install dynamips

ВсепараметрыDynamipsлегкоузнать,запустивегосключом'--help'.По умолчаниюэмулируетсяCisco7206VXRсNPE-200и256МбОЗУDRAM. Чтобыуказатьдругуюплатформу,следуетиспользоватьпараметр'-P'(на- пример,"-P3600").Дополнительныйключ'-t'позволяет«изменить»внут- ренностивиртуальногомаршрутизатора(взависимостиотвыбранного типааргументы'-t'будутразличны).Длязапускапонадобятсяреальные IOSобразыCisco,которыенеявляютсячастьюпакета,иихнеобходимо скачиватьотдельно(легконаходятсягуглом,вСетидоступнысборникипо несколькогигов).ИногдаIOS-образыпоставляютсявсжатомвиде,иперед загрузкойихнужнораспаковать:

$ unzip -p c7200-g6ik8s-mz.124-2.T1.bin > c7200.image

Запускаем:

$ dynamips c7200.image

НовпланенастроекDynamipsнеоченьудобен,чтобысоздатьнаегооснове сетьизнесколькихмаршрутизаторов,придетсянемалопотрудиться.Эту задачуможнооблегчитьприпомощиDynagen(dynagen.org),который являетсятекстовымфронт-эндомкDynamips.Используяпростойфайл описаниявиртуальнойсреды,мыможемлегкосоединитьнесколькоустройств.Главное,чтовсеустановкисобраныводномместе,имеютпростой синтаксисилегкоредактируются.

$nanov_router.net

# Описание узла, на котором установлен Dynamips [localhost]

#Тип роутера [[7200]]

#Ïóòü ê IOS-файлу

image = /home/grinder/images/c7200.image

#Общие параметры, в данном случае платформа и RAM, при необходимости внутри роутера можно указывать специфические настройки

npe = npe-400 ram = 160

#Первый роутер

[[Router R1]]

# Указываем подключение, в нашем случае интерфейс Serial1/0 на R1 будет подключен к Serial1/0 R2 s1/0 = R2 s1/0

[[Router R2]]

# Оставляем все по умолчанию

Этопростейшийпример,чтобыпонятьсутьнастроек.В«боевом»конфиге можетбытьсдесятоксамыхразныхроутеровиконфигураций.Например, чтобысвязатьодинизвыходоввиртуальногомаршрутизаторассетевым интерфейсомреальнойиливиртуальнойсистемы,пишем:

s2/0 = NIO_linux_eth:eth1

Сначалазапускаемdynamipsврежимегипервизора(послеотладкиможно стартанутьвфоне,добавив'&'):

$ sudo dynamips -H 7200

Cisco Router Simulation Platform (version 0.2.8-RC2-amd64) Copyright (c) 2005-2007 Christophe Fillot.

Build date: May 9 2009 18:06:28

ILT: loaded table "mips64j" from cache.

ILT: loaded table "mips64e" from cache.

ILT: loaded table "ppc32j" from cache.

ILT: loaded table "ppc32e" from cache.

*** Warning: Starting R1 with no idlepc value

Нужнуюцифирьidle-pcможнополучить,введя вконсолиdynagenкоманду«idlepcgetимя_роутера»:

=> idlepc get R1

Будетвыданонесколькозначений,наиболее оптимальныеотмеченызнаком"*".Далее выполнениекомандыостановится,ипотребуетсяввестиоднуизцифр,соответствующих выбранномуidlepc.Послеэтогоегозначение будетдобавленоквыполняющемусяпроцессу. ПризапускеDynamipsвручнуюзначениеidlepc указываетсяприпомощипараметра'--idle-pc=', каквариант,всекциироутераконфигаDynagen дописываем:

idlepc = 0x6076a394

Нолучшепростосохранитьзначение,чтобыоно считывалосьприпоследующихзагрузках:

=> idlepc save R1 db

Повторнопросмотретьвесьсписокidlepc просто:

=> idlepc show R1

Все,маршрутизаторможнонастраивать. Проектоброснесколькимисубпроектами, делающимииспользованиеDynagenболее удобным.Например,gDynagen(gdynagen.sf.net) обеспечиваетединуюконсольдлявводакоманд дляDynamips+Dynagen.Генераторнастроек дляDynagen—confDynagen(code.google. com/p/confdynagen)добавляетновыйрежим конфигурирования,которыйдаетвозможность изменятьпараметрыDynagen«налету»,без остановкивиртуальнойсети.

СИМУЛЯТОРGNS3

Разработчик:OpenSource

Web:www.gns3.net

ÎÑ:Windows2k/XP/Vista,*nix,MacOSX

Лицензия:GNUGPL

GNS3 (graphical network simulator) — очень мощный симулятор, выпускаемый под

warning

Некоторыестарые версииIOSнеподдерживаюткоманду idlepc.

Проекты одной строкой

•NetworkSimulator(isi.edu/nsnam/ns)—симу- лятор,предназначенныйдляизученияработы сетевыхпротоколовимаршрутизации.Опциональновключаетмодульанимацииnam (networkanimator).

•Xentaur(xgu.ru/hg/xentaur)—решениедля организациисетей,объединяющихреальныеустройства,эмуляторыивиртуальныемашиныXen.

•NetSim(mput.de/projects/code/netsim)— симуляторработыпопротоколамнижнегоуров- ня,с3D-визуализациейпроцессов.

•ProfSIMs (networksims.com), RouterSim

(routersim.com), CertExams.com (routersimulator.certexams.com) — коммерческие симуляторы и визуализаторы, позволяющие подготовиться к сертификации Cisco.

свободной лицензией и позволяющий эмулировать сети большого размера. Полезен администраторам и инженерам, а также пользователям, которые готовятся к сдаче сертификатов Cisco (CCNA, CCNP, CCIP, CCIE) и Juniper Networks (JNCIA, JNCIS, JNCIE). Чтобы обеспечить максимальную функциональность, также следует установить Dynamips, Dynagen и виртуальную машину Qemu. Для захвата пакетов потребуется Wireshark (wireshark.org). Кроме образов Cisco IOS, GNS3 умеет работать с olive-об- разами JunOS (juniper.net/ru/ru/products-services/nos/ junos) — операционки, используемой в оборудовании компании Juniper Networks. Возможна эмуляция простых Ethernet, ATM и Frame Relay свитчей и файеров (ASA, PIX). Как и в случае с Dynamips, легко подключить виртуальный свитч к сетевой карте реальной или виртуальной системы. И главное — все настройки производятся в интуитивно понятной графической среде.

ПакетGNS3ужедоступенврепозиторияхбольшинстваосновныхдистрибутивовLinux.ВDebian/Ubuntuдляустановки набираем:

$ sudo apt-get install gns3

Чтобыиспользоватьсамыесвежиеверсии,следуетподклю- читьрепозиторийgpl.code.de.Подробныеинструкциидля

ОБЗОРДОСТУПНЫХТЕХНОЛОГИЙ

Управление большим количеством разношерстных систем — дело весьма непростое, нужно контролировать их работоспособность и актуальность ПО, раздавать привилегии пользователям, отключать ненужные учетные записи, мониторить производительность и доступность системных ресурсов. Проблема синхронизации учетных записей и политик особенно остра. Если выполнять все настройки на каждой системе по отдельности, это займет не только больше времени, но и увеличит количество ошибок. Внедрив систему единой регистрации (single sign-on, SSO), мы получим возможность устанавливать все разрешения централизованно. Пользователям же не нужно будет каждый раз вводить логин и пароль при подключении к тому или иному ресурсу: файловому, прокси-серверу и т.д. С точки зрения безопасности это тоже плюс, так как все политики паролей наследуются из одной базы (например, Active Directory), а пользователь также меняет пароль один раз и в одном месте.

Если администратор знаком с *nix-систе- мами, то, скорее всего, он выберет один из двух «традиционных» путей. Первый вариант — это использование сервера Samba (winbind) и Kerberos. Для интеграции с AD это более «правильный» способ, поэтому его рекомендуют разработчики многих OpenSource-проектов (например, Squid). Причем Samba-сервер в таком случае легко сможет заменить контроллер домена. Второй заключается в получении информации об учетных записях при помощи LDAP-сер-

виса. Это универсальный способ, так как позволяет работать с любым доступным LDAP-сервером и необязательно доменом AD. Оба варианта легко реализуются при помощи OpenSource-компонентов, то есть не требуют финансовых вложений в покупку софта. Минус — необходим некоторый опыт в настройке *nix-систем. Подобные схемы уже рассматривались на страницах ][, поэтому далее познакомимся с альтернативными реализациями, ориентированными, в первую очередь, на Windows-специалистов.

СЛУЖБАУПРАВЛЕНИЯ ИДЕНТИФИКАЦИЕЙUNIX

В Microsoft понимают необходимость наличия удобных инструментов, позволяющих управлять различными системами в гетерогенной сети. И нужные разработки ведутся уже не один год. В результате сегодня по дефолту в состав ОС (с Win2k3R2) входит Служба управления идентификацией UNIX (Microsoft Server for NIS, AD Identity Management for Unix), являющаяся подкомпонентом роли контроллера домена. В Win2k8 установить ее можно обычным образом в Диспетчере сервера или при помощи консоли. Например, используя командлет PowerShell:

PS> Import-Module Servermanager

PS> Add-WindowsFeature ADDS-

Identity-Mgmt -restart

Все дальнейшие настройки в Windows производятся при помощи мастеров, поэтому проблем здесь обычно не возникает.

Однако подключения к AD фактически не происходит, разработка MS обеспечивает лишь аутентификацию пользователя, не более. Все дело в том, что в процессе установки создается отдельный домен службы NIS (Network Information Service) с таким же именем, как и домен AD, в котором администратор и выполняет настройки, подклю- чая учетные записи. Пользователи будут использовать для входа один и тот же пароль

âWindows и *nix. В параметрах учетных записей AD появляются *nix'овские UID и GID. Главный минус такого решения заключается

âтом, что сервер NIS — это довольно старый и не отвечающий сегодняшним реалиям стандарт с весьма скромным количеством хранимых атрибутов (логин, пароль).

УПРАВЛЕНИЕПРИПОМОЩИSCOM 2007

Но это еще не все, что предлагают нам дядьки из Microsoft. Один из членов семейства System Center (о SCCM 2007 читай в статье «Начальник сети», опубликованной

â][ 08.2009) — System Center Operations Manager 2007 (OpsMgr 2007, microsoft.com/ systemcenter/en/us/operations-manager. aspx) — предназначен для управления и мониторинга приложений, сервисов, серверов

âгетерогенной среде. Программа призвана объединить информацию о функционировании различных компонентов IT-инфраструк- туры, обеспечивая ее обобщенное представление в единой консоли.

Изначально OpsMgr 2007 был рассчитан на продукты MS, но в 2008 году стали доступны расширения Cross Platform Extensions (blogs.msdn.com/SCXplat), которые дают

возможность мониторить состояние и производительность, а также управлять Linux x86/x64 (официально — RedHat, SUSE), HP-UX, AIX и Solaris SPARC/x86. CPE построены с использованием открытых стандартов: Web Services for Management (WS_Management), OpenPegasus и SSH. Последний обеспечивает авторизацию и безопасную связь между сервером и клиентами. Кроме того, посредством SSH осуществляется развертывание агентов на удаленных системах и управление сервисами. Используя OpsMgr, *nix-админ вдобавок ко всему получает удобную систему отчетов.

На сегодня стадия тестирования завершена, продукт можно свободно скачать по ссылкам на странице TechNet (technet.microsoft.com/ en-us/systemcenter/scx/default.aspx).

После установки набора расширений и добавления *nix-систем в список OpsMgr можно управлять не только настройками ОС и

некоторых популярных приложений (Apache, MySQL, syslog), но и ресурсами: дисками, сетью, CPU. Агенты устанавливаются централизованно из консоли управления OpsMgr при помощи мастера «Computer and Device Management Wizard - Unix/Linux Discovery Wizard» или вручную, используя пакетный менеджер дистрибутива. После чего на клиентской стороне стартуют два демона — scx-cimd и scx-wsmand, которые выполняют основную работу по сбору данных и запуску команд.

внедрение придется хорошо обдумать и обосновать начальству. Хотя стоимость лицензии на один компьютер все равно получается меньше, чем покупать Windows. Поэтому выбрав *nix + один из продуктов, о которых рассказано далее в статье, можно немного сэкономить (не только на лицензировании ОС, но и на покупке антивирей и прочего сопутствующего софта).

Для выполнения своей функции сторонние решения обычно используют расширение схемы AD, а на клиентские системы устанавливается агент, который и отвечает за аутентификацию и взаимодействие с КД. Задача несколько усложняется тем, что в *nix нет единого стандарта присвоения UID и GID учетным записям пользователей и групп, поэтому в разных системах и дистрибутивах соответствующие цифры не совпадают. Как ты понимаешь, без ручной доводки здесь не обойтись, даже при наличии мощных средств автоматизации. Представленные приложения схожи по задачам, но имеют свои осо-

бенности. Чтобы тебе было легче подобрать для своей сети наиболее подходящее решение, мы подготовили этот мини-обзор.

LIKEWISE OPEN

РАЗРАБОТЧИК: LIKEWISE SOFTWARE WEB: LIKEWISE.COM, LIKEWISEOPEN.ORG

ОС: LINUX 2.4/2.6 (X86/X64) RPM&DEB BASED, FREEBSD X86, SOLARIS 8+ (X86/X64, SPARC), OS X 10.4+, HP-UX PA-RISC/IA64, AIX

СТОРОННИЕРАЗРАБОТКИ

На рынке доступны решения и от сторонних компаний. Среди самых известных: Centrify DirectControl/Centrify DirectManage, Likewise Enterprise/Likewise Open, Quest Authentication Services (ранее Vintela Authentication Services) и Quest One Identity Solution. Все перечисленные продукты обеспечивают аутентификацию пользователей *nix

в службе Active Directory. К плюсам таких программ можно отнести простое развертывание и настройку, производимую, как правило, посредством графического интерфейса. Это очень удобно, ведь админу-виндузятнику не нужно вникать в особенности *nix-сис- тем, разбираться в конфигах и так далее. Для пользователя *nix и Windows разницы в работе нет — после аутентификации он получает все права на доступ к ресурсам, которые делегированы ему в AD. Минус — коммерческие реализации стоят денег, а значит, их

Продукт распространяется в двух версиях: бесплатной (Open) и коммерческой (Enterprise). Агент, устанавливаемый на клиентских компьютерах, обеспечивает SSO-аутентификацию пользователя посредством Kerberos 5 или NTLM. Агент используется для аутентификации и получения доступа к системам и ресурсам. Компьютер с установленным LO становится полноценным членом домена. Поддерживаются доменные политики паролей. Реквизиты кэшируются на клиентском компьютере, что позволяет работать без доступа к КД. Единый пароль работает и для других приложений (таких,

например, как OpenSSH и Putty). Для настройки подключения к AD на клиентской стороне может использоваться графический интерфейс, который устанавливается отдельно. Список поддерживаемых систем и платформ насчитывает до 180 наименований.

Дополнительные функции, доступные в версии Enterprise, поз-