воскресенье, 14 сентября 2008 г.

Английская раскладка при аутентификации в русском Windows 2003.

Старые забытые грабли. Ввод пароля при аутентификации в Windows 2003, а раскладка клавиатуры русская. Надо переключаться, а это неудобно, особенно когда к этому не готов.

Чтобы подлечить -> regedit.exe -> HKEY_USERS - .DEFAULT - Keyboard Layout - Preload. Обычно два параметра:
  • 1 - основная раскладка в окне логона,
  • 2 - дополнительная раскладка в окне логона.

Изменить значения параметров, поменять их местами:

  • 1 - 00000409 - это английская раскладка,
  • 2 - 00000419 - это русская раскладка.

Reload and have fun!

четверг, 11 сентября 2008 г.

О паролях в конфигурационных файлах оборудования Cisco.

Мы часто обмениваемся конфигурационными файлами сетевого оборудования Cisco Systems для решения проблем конфигурирования или просто для обмена опытом. При этом даже иногда публикуем свои конфиги на общедоступных ресурсах - форумах, порталах. И тут вот совсем не надо забывать о наших учетных данных.

Для скрытого отображения пароля в конфигурационном файле надо использовать команду service password-encryption с односторонним шифрованием.
Тогда в конфигурационном файле отобразится зашифрованные пароли -

enable secret 5 $1$uHSM$ZmGh9.mwpKQkbJ.rqDBxR1

www.cisco.com помогает нам в атаке -
To determine which scheme has been used to encrypt a specific password, check the digit preceding the encrypted string in the configuration file. If that digit is a 7, the password has been encrypted using the weak algorithm. If the digit is a 5, the password has been hashed using the stronger MD5 algorithm.

Конкретно по поводу enable secret циска пишет что
Enable secrets are hashed using the MD5 algorithm. As far as anyone at Cisco knows, it is impossible to recover an enable secret based on the contents of a configuration file (other than by obvious dictionary attacks).

Но все равно, я бы поостерегся выкладвать конфигурацию с открытым зашифрованным паролем. В теории он вскрывается прямым перебором, который, при несложном пароле, может быть и не таким долгим.

На одном из весьма посещаемых форумов наткнулся на выложенный конфиг с

enable secret 5 $1$uHSM$ZmGh9.mwpKQkbJ.rqDBxR1
password 7 02575D035F54567118
password 7 0000160855025352
username denis privilege 15 password 7 0000160855025352

Уважаемая и бесплатная утилита "Каин и Авель" на лету открывает слова с обратимым шифрованием.

19842904 и den1984 - вот это интересно
т.е. пароль den1984, а первый пасс - это дата дня рождения горя-Дениса

Получается что человек не открыл нам enable, но открыл себя с привилегией 15 - что есть то что надо.
правда это конфиг точки доступа без адреса даже, но, утечка конкретная и серьезная! Коллеги, будьте бдительны в обмене конфигурационным файлами и уж тем более при их публикации.

Источник -http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00801d7efa.shtml

Организация механизма NAT в сетевых устройствах Cisco.

Зачем нужна трансляция сетевых адресов? Причин много, основная - нехватка адресного пространства IPv4. При текущих темпах развития сети свободные IPv4 адреса кончатся уже через 2-4 года. В качестве временной меры, предлагается начать распределение адресов из резервной подсети класса Е (сеть 240.0.0.0/4 в которую входят 268 миллионов IP начинающихся на номера с 240 по 255), это поможет продлить жизнь IPv4 приблизительно еще на год. Все с нетерпением осваиваем IPv6 и протоколы динмической маршрутизации, с ним связанные.

Поэтому трансляция сетевых адресов является неотъемлемой частью любой корпоративной сети, имеющей выход в глобальную сеть.

Does NAT occur before or after routing?

The order in which the transactions are processed using NAT is based on whether a packet
is going from the inside network to the outside network, or from the outside network to the
inside network. Inside to outside translation occurs after routing, and outside to inside
translation occurs before routing.

How does PAT work?

PAT works with either one IP address or multiple addresses.

PAT with one IP address:

  1. NAT/PAT inspects traffic and matches it to a translation rule.
  2. Rule matches to a PAT configuration. If PAT knows about the traffic type, and that traffic type has "a set of specific ports or ports it negotiates" that it will use, PAT sets them aside and does not allocate them as unique identifiers.
  3. If a session with no special port requirements attempts to connect out, PAT translates the IP source address and checks availability of the originated source port (433, for example).
    Note: For Transmission Control Protocol (TCP) and User Datagram Protocol (UDP), the ranges are: 1−511, 512−1023, 1024−65535. For Internet Control Message Protocol (ICMP), the first group starts at 0.
  4. If the requested source port is available, PAT assigns the source port, and the session continues.
  5. If the requested source port is not available, NAT starts searching from the beginning of the relevant group (starting at 1 for TCP or UDP applications, and from 0 for ICMP).
  6. If a port is available it is assigned, and the session continues.
  7. If no ports are available, the packet is dropped.


PAT with multiple IP addresses:

Note: The first seven conditions are the same as with a single IP address.
If no ports are available in the relevant group on the first IP address, NAT
flips to the next IP address in the pool and tries to allocate the original source
port requested.

  1. If the requested source port is available, NAT assigns the source port and the session continues.
  2. If the requested source port is not available, NAT starts searching from the beginning of the relevant group (starting at 1 for TCP or UDP applications, and from 0 for ICMP).
  3. If a port is available, it is assigned and the session continues
  4. If no ports are available, the packet is dropped, unless another IP address is available in the pool.

среда, 10 сентября 2008 г.

Решение проблемы подключения USB-устройств к виртуальным машинам VMWare.

Нашлось программное решение данной проблемы - "USB to Ethernet Connector" компании Eltima.
http://www.eltima.com/products/usb-over-ethernet/
Теперь можно делать доступным локальные устройства USB для виртуальных машин.


вторник, 9 сентября 2008 г.

HP ProLiant Network Adapter Teaming

Удалось прояснить вопрос с механизмом работы объединения сетевых адаптеров в серверах Hewlett-Packard (Network Adapter Teaming). Сам по себе вопрос возник в связи с необходимостью обеспечить отказоустойчивое сетевое подключение серверов, устойчивое к сбоям коммутаторов уровня доступа или, в терминах центра обработки данных, агрегации. Эти коммутаторы соединяют серверный парк с сетью предприятия. Было интересно, как ведет себя таблица MAC-адресов коммутаторов при переключении сетевых адаптеров под управлением механизмов отказоустойчивости.

Существует 4 основных вида отказоустойчивых сетевых подключений сетевых адаптеров в терминологии HP:
  • NFT (Network Fault Tolerance)
  • TLB (Transmit Load Balancing with Fault Tolerance)
  • SLB (Switch-assisted Load Balancing with Fault Tolerance)
  • 802.3ad Dynamic with Fault Tolerance
Что они означают и какие выгоды предоставляют.

NFT (Network Fault Tolerance)

Технология объединения от 2 до 8 сетевых адаптеров в группу, выступающую как единый виртуальный адаптер с отдельным IP-адресом для внешней сети. Передает и принимает данные только один основной адаптер, остальные (резервыне) находятся в режиме ожидания и передают только служебную информацию протокола группировки адаптеров. Между сетевыми адаптерами группы пересылаются кадры состояния (heartbeat). Кадры передаются по на 2 уровне модели OSI в широковещательном режиме. Это означает, что при подключении адаптеров одного сервера к разным коммутаторам, необходимо обеспечить транковые соединения между этими коммутаторами для организации единого широковещательного домена. В противном случае адаптеры будут исключаться из группы при непрохождении кадров состояния (по умолчанию таймер истекает через 3 секунды). На ARP-запросы из внешней сети отвечает только основной интерфейс, анонсируя свой MAC-адрес для IP-адреса виртуального адаптера. В случае выхода из строя основного адаптера один из резерных адаптеров меняется своим MAC-адресом с бывшим основным интерфейсом и начинает отвечать на запросы из внешней сети, обращенные на MAC-адрес вышедшего из строя основного интерфейса. После решения проблемы с основным интерфейсом он возвращается в группу, но играет роль резервного интерфейса до следующего сбоя текущего основного интерфейса. Данные передаются и принимаются на скорость единичного интерфейса, сложения скоростей не происходит. Есть режим "Network Fault Tolerance Only with Preference Order" в котором администратор может выставить приоритеры адаптерам, согласно которым они вступают в роль основного адаптера.


TLB (Transmit Load Balancing with Fault Tolerance)

Технология объединения от 2 до 8 сетевых адаптеров в группу, выступающую как единый виртуальный адаптер с отдельным IP-адресом для внешней сети. Ранее технология называлась "Adaptive Load Balancing (ALB)". Основной адаптер способен принимать и передавать данные во внешнюю сеть, остальные (резервные) адаптеры только передают данные обратно во внешнюю сеть, осуществляя балансировку исходящей нагрузки. Балансировка нагрузки осуществляется:
  1. автоматически;
  2. по TCP-соединению;
  3. по IP-адресу получателя;
  4. по MAC-адресу получателя;
  5. последовтельным перебором.
Между сетевыми адаптерами группы пересылаются кадры состояния (heartbeat). Кадры передаются по на 2 уровне модели OSI в широковещательном режиме. Это означает, что при подключении адаптеров одного сервера к разным коммутаторам, необходимо обеспечить транковые соединения между этими коммутаторами для организации единого широковещательного домена. В противном случае адаптеры будут исключаться из группы при непрохождении кадров состояния (по умолчанию таймер истекает через 3 секунды). На ARP-запросы из внешней сети отвечает только основной интерфейс, анонсируя свой MAC-адрес для IP-адреса виртуального адаптера. При ответной передачи данных от другого адаптера, в кадре указывается MAC-адрес этого интерфейса. Принимающий сервер не фиксирует этот адрес в своей таблице MAC-адресов, для него важно получить ответ с IP-адреса виртуального адаптера сервера. В случае выхода из строя основного адаптера один из резерных адаптеров меняется своим MAC-адресом с бывшим основным интерфейсом и начинает отвечать на запросы из внешней сети, обращенные на MAC-адрес вышедшего из строя основного интерфейса. После решения проблемы с основным интерфейсом он возвращается в группу, но играет роль резервного интерфейса до следующего сбоя текущего основного интерфейса. Данные принимаются на скорость единичного интерфейса, передаются в целом на скоростях всех интерфейсов группы. Есть режим "Transmit Load Balancing with Fault Tolerance and Preference Order" в котором администратор может выставить приоритеры адаптерам, согласно которым они вступают в роль основного адаптера.
SLB (Switch-assisted Load Balancing with Fault Tolerance)

Технология объединения от 2 до 8 сетевых адаптеров в группу, выступающую как единый виртуальный адаптер с отдельным IP-адресом и MAC-адресом для внешней сети и объединяет аналогичное количество портов коммутатора в один логический агрериованный интерфейс. Необходимо чтобы коммутатор поддерживал одну из перечисленный ниже технологий агрегации портов - "HP ProCurve Port Trunking, Cisco Fast EtherChannel (FEC)/Gigabit EtherChannel (GEC) (Static Mode Only – no PAgP), IEEE 802.3ad Link Aggregation (Static Mode only – no LACP), Nortel’s Multilink Trunking (MLT), and Extreme Network Load Sharing." Принимать и передавать данные во внешнюю сеть могут все адаптеры группы. Балансировка нагрузки для исходящих данных осуществляется аналогично методу TLB. Балансировка входящих данных осуществляется коммутатором согласно протоколу агрегации каналов, который им используется. Все исходящие от сервера кадры содержат MAC-адрес виртуального порта. Данные передаются и принимаются в целом на скоростях всех интерфейсов, входящих в группу.
802.3ad Dynamic with Fault Tolerance.

Технология полностью соответствует SLB за исключением того, что порты на коммутаторе конфигурирются в транковый режим протоколом LACP автоматически.



Источник - ftp://ftp.compaq.com/pub/products/servers/networking/proliant-teaming-whitepaper-march%2008.pdf