книги хакеры / журнал хакер / 128_Optimized

>>

ПАТЧИМЯДРО

пользователи любят на шару качать файлы на работе, посему блокируем DownloadMaster:

$ sudo iptables -A FORWARD -m string --string --algo kmp \ "DownloadMaster" -j REJECT

Подобным образом можно закрыть доступ к «Одноклассникам», «ВКонтакте» и прочим ресурсам. Параметр '--algo' обязателен, — он определяет алгоритм, который будет использован для проверки совпадения строк. Здесь возможны варианты — kmp (от Knuth-Pratt-Morris) или bm (от Boyer-Moore). В подробности работы алгоритмов вдаваться не буду, скажу только, что bm считается одним из наиболее быстрых среди алгоритмов сравнения в «простых» ситуациях. А kmp является усовершенствованным вариантом bm, оптимизированным для разбора сложных строк. Кстати, модуль string поддерживает и параметр '--hex-string', что позволяет производить поиск в бинарном формате. К сожалению, это все, что можно сделать, используя стандартные возможности iptables. Далее необходимо обращаться уже к другим решениям.

БЛОКИРОВКИСЕДЬМОГОУРОВНЯСуществует несколько проектов, кото- рыепредоставляютбольшевозможностейпоконтролю.Этоl7-filter(l7-filter. sf.net),Zorp(www.balabit.com/network-security/zorp-gateway),IPP2P(ipp2p. org)èP2PWall(www.lowth.com/p2pwall).Последниедвапроекта,каквидно

из названия, специализируются на идентификации P2P-сетей. ЗадачаZorp (Modular Application Level Gateway) — защита приложений от направленныхатак.Zorpпредставляетсобойпрозрачныйпрокси,которыйвыступает посредником при работе клиента и сервера. Зная особенности протоколов инаоснованиинастроек,онпринимаетрешениеонеобходимостипродолжения текущего соединения. Его главная фича — возможность проверки защищенныхсоединений(HTTPS,POP3S,IMAPSилиSSH),чтонедоступно многим IDS. Версия GPL поддерживает только протоколы (HTTP/1.1, FTP, SSL,finger,whoisиtelnet),поэтомуZorpнаспоканеинтересует.

L7-filter позволяет Netfilter идентифицировать пакет на прикладном уровне данных, основываясь на его содержимом, и классифицировать пакетыпоихназначению,безпривязкикномерупорта.Внастоящеевремя поддерживаются протоколы HTTP и FTP; P2P сети (Kazaa, BitTorrent, eDonkey2000, FastTrack); IM-системы (AIM/Jabber/IRC/MSN); VoIP/ Skype;VPN;игры(Battlefield,CS,Doom3,WoW);файлы(exe,mp3)идаже черви вроде Code Red и Nimda.

Проект предлагает две версии l7-filter:

•Kernel version — развивается уже давно и хорошо протестирована; не- многосложнавустановке,неоченьдружитсSMP-процессорамиипозво- ляет использовать только самые простые регулярные выражения;

•Userspace version — находится в ранней стадии развития, обладает большими возможностями по фильтрации, так как поддерживает весь спектр команд GNU grep (возможно, в будущем будет поддерживаться только эта версия).

Несмотря на то, что версия userspace стабильна в работе, ее не рекомендуютиспользоватьнакритическихсистемахидляблокировкитрафика. Ниже рассмотрим установку kernel-варианта l7-filter, который затем дополним IPP2P. Для успешного проведения сборки в твоей системе должны быть установлены пакеты build-essential, iptables, iptables-dev и linux-source. Берем настройки текущего ядра, которые будем использовать как базовые, и копируем их в /usr/src/linux:

$ sudo cp /boot/config-`uname -r` /usr/src/linux/. config

Получаемархивспатчамидляядрассайтаl7-filter(либосприлагаемогокжур- налудиска),распаковываемегоипереходимвкаталогссырцамиядра:

ДЛЯВКЛЮЧЕНИЯL7-FILTER НЕОБХОДИМО ПЕРЕСОБРАТЬЯДРО

$ tar xzvf netfilter-layer7-v2.21.tar.gz $ cd /usr/src/linux

В архиве несколько патчей для разных версий ядер и iptables. Нужно выбрать вариант для своего ядра (в настоящее время есть патчи только до 2.6.28):

$ sudo patch -p1 < ../netfilter-layer7-v2.21/for_older_ kernels/kernel-2.6.22-2.6.24-layer7-2.18.patch

Аналогичнопатчимiptables:

$ cd ../iptables $ iptables -v iptables v1.3.8

$ sudo patch -p1 < ../netfilter-layer7-v2.21/iptables- 1.3-for-kernel-2.6.20forward-layer7-2.21.patch

$ sudo chmod +x extensions/.layer7-test

Собираемiptables:

$ make KERNEL_DIR=/usr/src/linux $ sudo make install

Теперьконфигурируемикомпилируемядро:

$ sudo make menuconfig

Переходим в «Networking — Networking option — Network packet filtering framework(Netfilter) — Core Netfilter Configuration», где активируем «Connection tracking flow accounting» и «Layer 7 match support». На этой же вкладке активируется модуль string, о котором говорилось выше, поддержка Netfilter отдельных протоколов (FTP, H323 и пр.) и другие полезные функции. Ставим фильтры протоколов; фактически они просто копируются в каталог /etc/l7protocols:

$ tar xzvf l7-protocols-2009-05-28.tar.gz $ cd l7-protocols-2009-05-28/

$ sudo make install

После перезагрузки можно проверить работу фильтра. Команда «iptables -m layer7 --help» выдаст список параметров. Например, чтобы заблокироватьBitTorrent,AIMиSkype,пишем:

iptables -A FORWARD -m layer7 –l7proto bittorrent -j DROP

iptables -A FORWARD -m layer7 –l7proto aim -j DROP iptables -A FORWARD -m layer7 –l7proto skypetoskype -j DROP

iptables -A FORWARD -m layer7 –l7proto skypeout -j DROP

Далее блокируем по аналогии: ищем в списке название протокола и баним.

СТАВИМ IPP2P Сейчас рассмотрим установку IPP2P — проекта, который специализируется на P2P-сервисах. Как и l7-filter, он является надстройкой над Netfilter/iptables, с которым легко интегрируется. Его функциональность расширяется за счет добавления новых правил. Для идентификации протокола IPP2P использует подготовленные шаблоны. Кроме блокировки трафика, IPP2P можно использовать для его маркировки,например,чтобызадаватьменьшийприоритетиликанал. Учитывая, что все у нас уже подготовлено, описание установки много места не займет. Забираем с DVD-диска архив с исходными текстами ipp2p-0.8.2.tar.gz, накладываем патч ipp2p-0.8.2-kernel-2.6.22.patch и пробуем установить:

$ sudo make

Скорее всего, в ответ получим ошибку «ipp2p-0.8.2/Makefile:36: You need to install iptables sources and maybe set IPTABLES_SRC». В инструкции по установке сказано, что скрипту нужно правильно указать на каталог, в котором находится заголовочный файл iptables.h. В нашем случае это — /usr/src/iptables. Открываем Makefile и правим:

$ sudo nano Makefile

IPTABLES_SRC = $(wildcard /usr/src/iptables) #CFLAGS = -O3 -Wall

Повторяем попытку. Если ядро ранее не собиралось, например, ты решил обойтись без l7-filter, то перед сборкой IPP2P следует установить исходникииввести«makeoldconfig&&makeprepare»(иначепроцесссборкиIPP2P завершитсянеудачей).Поокончаниикомпиляциипереносимlibipt_ipp2p. soвкаталогсбиблиотекамиiptables:

$ sudo cp libipt_ipp2p.so /usr/lib/iptables

Загружаеммодуль:

$ sudo cp libipt_ipp2p.so /lib/iptables

$ sudo cp ipt_ipp2p.ko /lib/modules/`uname -r`/kernel/ net/ipv4/netfilter

$ sudo modprobe ipt_ipp2p

$ sudo bash -c "echo ipt_ipp2p >> /etc/modules"

Всеготово!Смотримсписокпараметров:

$ sudo iptables -m ipp2p --help

Иблокируемвсе,чтоненужно:

ЗАКЛЮЧЕНИЕТеперьлазееквсетинеостанется,хотяэтонедолжноусыплять твою бдительность. Надо запретить доступ к USB/CD/DVD, проконтролировать, какие программы установлены на компьютерах пользователейизаблокироватьвозможностьсамостоятельнойихустановки.z

>>

>> SYN/ACK

ТРЕБОВАНИЯКУСТАНОВКЕSCCM

Âнастоящее время доступна стабильная версия SCCM R2, которая поддерживает WinXP/2003/VistaSP1/2k8, и бета SCCM SP2, в которую включена поддержка новых ОС Win7/2k8R2/2k8SP2. Список клиентских ОС не должен вводить в заблуждение: для WinXP, Vista и Win7 доступно ограниченное количество ролей, в частности Branch distribution point. Поэтому для установки следует выбирать именно серверную ОС. Версия R2 доступна в двух вариантах: как обновление к предыдущей SP1 или Full. Последнюю скачать пока нельзя, но есть возможность получить готовый к работе VHD-образ с предустановленным SCCM.

Дляинсталляциинампонадобится,какминимум,двафайлаSCCMсSP1 и R2. И хотя процесс установки сайта SCCM, можно сказать, достаточ- но тривиален, непосредственно перед ее началом следует определиться с рядом вопросов, чтобы упростить себе жизнь в будущем. В первую очередь, со структурой системы SCCM: надо выбрать между single-site и multi-site, продумать именование, режим работы, процесс развертывания агентов и так далее. Вопросов на самом деле много, и после установкиизменитьнекоторыенастройкинетак-топросто.Подробно вопрос планирования рассмотрен в двух документах: «Планирование и развертывание инфраструктуры сервера для Configuration Manager 2007» и «Планирование и развертывание клиентов для Configuration Manager 2007», которые ты найдешь в TechNet.

Минимальные требования к оборудованию — PIII 733 МГц, 256 Мб ОЗУ, 5 Гб на харде и 10 Мбит сетевуха. В зависимости от роли минимальную планку придется существенно поднимать, например, если сайт будет выполнять развертывание ОС, то для хранения образов понадобится очень много места на харде и, в идеале, гигабитная сетка.

Перед установкой также следует выполнить ряд требований, предъявляемых к программному обеспечению. На сервере должен работать SQL Server 2005 SP2 (go.microsoft.com/fwlink/?LinkId=69795), при- чем только полная версия. Express Edition не поддерживается. В зависимости от роли сервера, потребуется наличие: IIS не ниже 6.0, MMC 3.0, NET Framework 2.0, ASP.NET, BITS (Background Intelligent Transfer Service) и WebDAV. Также во время установки нужно накатить ряд хотфиксов (если это не сделано до сих пор), для Win2k3 их будет предостаточно. Кстати, возможна установка Primary и Secondary сайтов на RODC (контроллер домена только для чтения). В режиме Primary мастер инсталляции определяет, что он устанавливается на такой КД, и автоматически произведет поиск КД, доступного для записи, чтобы создать группы, необходимые для работы сайта. Для Secondary группы придется создать вручную.

Âдальнейшем я покажу установку SCCM на Win2k8 в варианте singlesite как Primary site. Для упрощения будем считать, что система уже установлена, сервер подключен к AD, а SQL-сервер функционирует.

Вызываем «Диспетчер сервера», переходим в «Компоненты — Добавить компоненты» и отмечаем «Серверные расширения BITS». Полу- чив запрос на установку зависимых компонентов, в том числе и IIS 7.0, подтверждаем его, нажав «Добавить требуемые службы роли». Отмечаем компонент «Удаленное разностное сжатие», позволяющее передаватьпосетитолькоразницумеждуфайлами,минимизируятрафик. Переходим к шагу выбора служб ролей. Для IIS здесь активируем ASP.NET и ASP (нужен для точки формирования отчетов), «Windows —

проверка подлинности», «Совместимость метабазы IIS 6» и «СовместимостьWMIвIIS6».Попутносоглашаемсясустановкойнеобходимых компонентов. Все, ставим.

WebDAV не входит в состав компонентов Win2k8! Чтобы добавить поддержку, скачиваем архив под x86 или x64 версию (go.microsoft.com/ fwlink/?LinkID=141805, go.microsoft.com/fwlink/?LinkID=141807) и устанавливаем.

ПослеустановкиследуетвключитьWebDAVисоздатьавторскоеправило.Дляэтоговызываем«ДиспетчерслужбIIS»(вменю«Администрирование»), переходим в Default Web Site и выбираем «WebDAV Authoring Rules». Нажав ссылку «Enable WebDAV», запускаем WebDAV. Теперь добавляем авторское правило. Нажимаем ссылку «Add Authoring Rule». Появляется мастер. Устанавливаем «All Content», «All users» и в поле Permissions—«Read».РедактируемнастройкиWebDAV,выбравссылку «WebDAV Settings»:

•Allow anonymous Property Queries (Разрешить анонимные запросы свойств) ÆTrue;

•Allow Custom Properties (Разрешить пользовательские свойства) ÆFalse;

•Allowpropertyquerieswithinfinitedepth(Разрешитьзапросы свойств с бесконечной глубиной) ÆTrue;

•Allow hidden files to be listed (Разрешить перечисление скрытых файлов)ÆTrue.

По окончании настроек нажимаем «Применить» и выходим из «Диспетчера IIS».

По умолчанию настройки IIS блокируют некоторые типы файлов, что может помешать работе точек распространения. Если такое происходит, определи разрешенные типы файлов. Для этого открой файл applicationHost.config, который расположен в %windir%\

System32\inetsrv\config, найди секцию <fileExtensions> раздела <requestFiltering> и для требуемого расширения установи allowed="true". Например:

<add fileExtension=".java" allowed="true" />

Но разрешаем лишь то, что действительно необходимо.

ПОДГОТОВКА К УСТАНОВКЕ SCCM Скачиваем и распаковываем дистрибутив с SCCM SP1 (ConfigMgr07SP1Eval_RTM_RUS_6221.exe). Перед непосредственной установкой следует выполнить еще ряд подготовительных действий. Первым делом установим расширение схемы для AD. Это просто.

Переходим в подкаталог, куда распакован SCCM, затем в SMSETUP — BIN, каталог, соответствующий архитектуре (например x64), и запускаем из консоли или двойным щелчком файл extadsch.exe. Программа берет все данные из файла ConfigMgr_ad_shema.ldf и не выдает в консоль никакой информации по своей работе, но результат можно получить из журнала C:\ExtADSch.log. При необходимости правим ConfigMgr_ad_shema.ldf. Чтобы внесенные изменения вступили в силу, запускаем команду «ldifde -i -f ConfigMgr_ad_shema.ldf».

При щелчке по splash.hta (будет доступен после распаковки) появляется окно выбора. Непосредственно перед запуском программы установки нужно выбрать «Run the prerequisite checker» и проверить,

ВЫБИРАЕМТИПСАЙТАВОВРЕМЯУСТАНОВКИSCCM

нию обнаружение производится раз в день, и обычно этого достаточно. Но на первых порах расписание поиска можно изменить, перейдя во вкладку «Polling Schedule» и указав меньшее время. Чтобы ускорить обнаружение новых объектов, установи флажок «Run discovery as soon as possible». Вкладка«ActiveDirectoryattribute»позволяетуказатьатрибуты, которые будут использованы для обнаружения.

В «Network discovery» несколько больше параметров, позволяющих управлять обнаружением. Например, в поле «Type of discovery» можно указать три варианта: топология, + клиент и + ОС. Остальные вкладки — «Subnets», «Domains», «SNMP», «SNMP Devices» и «DHCP» позволяют уточнить параметры обнаружения клиентов. Например, вовкладке«Subnets»указываетсяадресподсети,вкоторой будут обнаруживаться клиенты, а во вкладке «Schedule» настраивается расписание.

Клиенты потихоньку обнаруживаются. Теперь их необходимо утвердить. Вызываем из контекстного меню свойства сайта. Здесь несколько вкладок. В «Wake On LAN» можно разрешить «пробуждение» удаленной системы, если это необходимо для установки обновлений/приложений. В «Ports» указываются порты для подключения клиентов. Вкладка «Advanced» позволяет определить, что делать при обнаружении двух клиентов, имеющих одинаковый hardware ID. По умолчанию автоматически создается отдельная учетная запись «Automatically create new client records ...». Чтобы разрешать такие конфликты вручную, следует установить переключатель в «Manually resolve conflicting records». Остальные подпункты «Advanced» позволяют публиковать сайт SCCM в AD и обмениваться ключами. В «Security» настраиваются параметры учетных записей для доступа и управления SCCM. И, наконец, в «Site Mode» устанавливается (точнее, изменяется) режим работы сайта (Native или Mixed). Как будут обнаруживаться клиенты, зависит от настроек поля «Approval settings»:

•Manuallyapproveeachcomputer—каждыйкомпью- тер подтверждается вручную, его можно использовать только в небольших сетях или после того, как все клиенты установлены, а настройки уже произведены;

•Automatically approve computers in trusted domains (recommended) — все системы из доверенных доменов в области Discovery будут одобрены автоматически;

•Automatically approve all computers (not recommended) — все обнаруженные компьютеры будут

>>

утверждены автоматически. Выбирать этот пункт имеет смысл, только в случае, если не используется AD, то есть второй пункт не подходит. Естественно, сеть должна быть должным образом защищена.

Взведенный флажок «This site containts only ConfigMgr 2007 clients» предписывает одобрение только SCCM-клиентов (клиенты старого SMS будут отвергнуты).

Для удобства управления компьютеры, пользователи и т.п. объединяютсявколлекции(collection)полюбомупризнаку(ОС,сетьит.п.)Иименно над коллекциями производится большинство действий, вроде установки программ и обновлений. После обнаружения клиенты находятся в «Computermanagement—Collections».Здесь—несколькоготовыхколлек- ций (например, по версии ОС). Выбираем «All Systems» и находим здесь нашсервер,накоторомустановленSCCM.Еслисписокпуст,вызываемиз меню пункт «Update Collection Membership» и ждем некоторое время.

Впоявившейсятаблиценесколькопунктов.Так,столбикClientпоказы- вает,установленликлиент,аApproved/Assigned/Blocked/Active—его состояние. Сам клиент пока не установлен. Это можно сделать: вруч- ную (из сетевой папки \\server\site\Client\ccmsetup.exe); с помощью Push-установки; используя групповые политики AD или скрипт Logon, предустановленный в образ. Все эти и другие методы в том или ином видеужерассматривалисьвжурнале.Метод«ClientPushInstall»—род- ное (встроенное) средство распространения клиентов для SCCM.

Доступные на конкретном сайте методы установки можно найти в пункте «Site settings — Client installation method».

Перед запуском «Client Push Install» его следует настроить.

Выбираем «Client Push Installations» и вызываем свойства. Чтобы производилась автоматическая установка клиентов, установи флажок «Enable Client Push Installations for assigned resources» è â ïîëå «System type» отметить типы систем, на которые будет установлен клиент — Servers, Workstations

èDomain controllers. Отмечаем флажок «Enable Client Push Installations to the site systems», чтобы устанавливать клиенты на системы SCCM. Во вкладке «Accounts» указываем учетную запись пользователя, от имени которой будет производиться установка.

Ручная установка активируется просто. После обнаружения системы достаточно выбрать в ее контекстном меню пункт «Install client» и следовать указаниям появившегося мастера установки. Мастер содержит два шага: один из них информационный, а на втором выбираем параметры установки (устанавливать ли на контроллер домена, обновлять

èт.п.) и нажимаем «Next». Процесс установки клиента начат.

ЗАКЛЮЧЕНИЕ SCCM представляет собой невероятно мощный инструмент администрирования корпоративной сети, и возможностей у него более чем достаточно. Охватить все настройки и подробно описать работу со всеми компонентами в одной статье невозможно, да такой задачи и не ставилось. В следующий раз рассмотрим порядок установки приложений, обновлений и ОС на клиентские компьютеры, а также познакомимся с системой отчетов.z

>> SYN/ACK

>>