headermask image



Настройка Windows Server 2008 в качестве сервера Remote Access SSL VPN Server. Часть 3

В первых двух частях этой серии статей о том, как создавать сервер SSL VPN на базе Windows Server 2008, мы рассматривали некоторые основы построения сетей VPN и затем обсудили настройку сервера. На данном этапе мы готовы завершить выполнение некоторых мелких изменений в конфигурации Active Directory и на CA веб сайте. После того как мы выполним этим изменения, мы сконцентрируемся на конфигурации клиента VPN и в конце создадим SSL VPN соединение.

Настройка учетной записи пользователя на использование Dial-up соединений

Учетные записи пользователей требуют разрешений для доступа dial-up, прежде чем смогут подключиться к серверу Windows VPN, который входит в домен Active Directory. Самый лучший способ сделать это – это использовать сервер Network Policy Server (NPS), а также разрешение учетной записи пользователя по умолчанию, которое разрешает удаленный доступ на основе политики NPS. Однако в нашем случае мы не устанавливали сервер NPS, поэтому нам придется настраивать разрешение пользователю для доступа dial-in вручную. прочитать полностью »

Конфигурирование Windows Server 2008 в качестве сервера Remote Access SSL VPN Server. Часть 2

В первой части этой серии статей, посвященных настройке Windows Server 2008 в качестве сервера SSL VPN, я рассказывал о некоторых фактах истории серверов Microsoft VPN и протоколов VPN. Мы закончили предыдущую статью описанием примера сети, которую будем использовать в этой и последующих частях серии по настройке VPN шлюза, поддерживающего SSTP соединения с клиентами Vista SP1.

Прежде чем мы начнем, должен признаться, что знаю о наличии пошагового руководства по созданию SSTP соединений для Windows Server 2008, которое находится на www.microsoft.com веб-сайте. Мне показалось, что эта статья не отражает реально существующее окружение, которое используется в организациях для назначения сертификатов. Именно поэтому, и из-за некоторых проблемных моментов, которые не были затронуты в руководстве Microsoft, я решил написать эту статью. Я считаю, что вы узнаете немного нового, если будет следовать за мной в этой статье. прочитать полностью »

Настройка Windows Server 2008 в качестве сервера удаленного доступа SSL VPN. Часть 1

Удаленный доступ (Remote Access) на сегодняшний день очень важен. С ростом числа людей, нуждающихся в доступе к информации, хранящейся на домашних и рабочих компьютерах, возможность получать такой доступ из любой точки стала решающей. Прошли те дни, когда люди говорили: «я отправлю вам эту информацию, как только доберусь до своего компьютера». Вам нужна эта информация немедленно, если вы хотите достойно конкурировать в сегодняшнем деловом мире.

В каменном веке компьютеризации способом получения удаленного доступа к своему компьютеру было использование dial-up соединения. RAS dial-up соединения работали через обычные POTS (Простая старая телефонная служба – Plain Old Telephone Service) линии при скорости передачи данных примерно до 56kbps. Скорость была основной проблемой таких соединений, но еще более серьезной проблемой была цена соединения, когда получение доступа требовало больших расстояний. прочитать полностью »

Скрытые возможности IPTables

С помощью этого мощного набора расширений для iptables вы сможете строить свои правила, основываясь на анализе содержимого пакетов, диапазона портов и даже создавать ловушки для злоумышленников.

Iptables в Linux позволяет строить весьма мощные брандмауэры, ничуть не уступающие по своим характеристикам многим коммерческим системам защиты. По сути своей, iptables основывается на фильтрации пакетов, проходящих через соединение, и в соответствии с набором правил определяет ту или иную реакцию брандмауэра на эти пакеты. В самых простых случаях iptables может использоваться для того, чтобы сбросить одни пакеты и пропустить другие. При этом обычно анализируются IP-адрес пакета, номер порта и направление движения пакета. Кроме того iptables может анализировать статус пакета (NEW, ESTABLISHED, RELATED и пр. прим. перев.)

Простая и очень эффективная возможность блокировки входящего трафика, инициированного извне, совместно с функциями трансляции сетевых адресов (NAT) дает возможность пользователям свободного выхода во“внешний мир” и надежно защищает их от вторжений извне. Обычно такие наборы правил несколько упрощены, и возможно их следует расширить дополнительными фильтрами, но сама концепция остается неизменной. прочитать полностью »

Fedora Directory Server – сервер каталогов уровня предприятия

Что же такое Fedora Directory Server (FDS)? Это сервер каталогов уровня предприятия c открытым исходным кодом. Возможности Fedora Directory Server:

  • Поддержка LDAPv3.
  • Возможность использовать до четырех полностью равноправных мастер-серверов с автоматическим разрешением конфликтов. Каждая из реплик (фактически это копия мастер-сервера, доступная только для чтения) может быть настроена на последовательный опрос всех мастеров, обеспечивая высокую надежность всей системы. Предусмотрены балансировка нагрузки и автоматическое переключение на работу с другим мастером в случае выхода одного из строя.
  • Высокая масштабируемость. По заявлениям разработчиков, из расчета на один сервер: тысячи операций в секунду, десятки тысяч пользователей, десятки миллионов записей и сотни гигабайт данных.
  • Возможность синхронизации пользователей, групп и паролей с контроллерами домена Active Directory (2000 and 2003) или NT4. Данная возможность осуществляется через специальный компонент Windows Sync, который устанавливается на доменный контроллер. Единицей синхронизации является под-ветвь дерева.
  • Утилиты управления с графическим интерфейсом, управления из командной строки и через веб-интерфейс.
  • Безопасные аутентификация и транспорт (SSLv3, TLSv1 и SASL).
  • Мощный механизм разграничения доступа вплоть до уровня отдельных атрибутов. Правила доступа на основе имени пользователя, групп, IP-адреса, времени суток и других критериев. Стандарт LDAP не описывает, в каком виде сервер каталогов хранит информацию о правах доступа. В FDS используется механизм и синтаксис, аналогичный Sun Java System Directory Server 5.2 – опциональные атрибуты aci (access control instructions).
  • Поскольку права доступа могут наследоваться от родительских записей, у администратора имеется возможность воспользоваться функцией определения эффективных прав (GetEffectiveRights).
  • Шифрование выбранных атрибутов записей.Возможность обновлять схемы, осуществлять импорт, экспорт и работать с резервными копиями в «горячем» режиме без остановки сервера.
  • Комплект подробной документации.
  • Многое другое. Полный список возможностей можно найти в [1].

Нужно заметить, что помимо прочего, FDS является основой проекта по созданию централизованного решения для управления информацией о пользователях, политиках и аудита на предприятии – FreeIPA [2]. прочитать полностью »

Контроль над использованием внешних USB-накопителей в Windows Server 2008

Перемещение информации через границы охраняемого периметра локальной сети компании является, пожалуй, наибольшей головной болью службы информационной безопасности. С каждым годом эта головная боль только растет, а решение проблемы становится все более и более актуальным. Ведь за последнее время резко увеличилось число всевозможных USB-устройств, которые могут использоваться в качестве накопителей. При этом объем информации, который может быть записан с помощью таких устройств, уже догнал объем винчестеров. Сегодня USB-диски с объемом в 4 Гб уже давно не редкость, объем жестких дисков переносных MP3 плейеров превысил 80Гб, а ведь кроме этого есть еще и фотоаппараты, мобильные телефоны, КПК с большим объемом памяти и т.д. Объем рынка таких устройств показывает экспоненциальный рост: физические размеры все меньше и меньше, а производительность и объем все больше и больше.

Постоянно увеличиваются инвестиции в межсетевые экраны, используются все новые и более надежные алгоритмы шифрования, другие средства и технологии контроля для защиты данных от хищения через Интернет. Однако не стоит забывать, что большинство хищений сегодня происходит по вине собственных сотрудников, которые посредством использования различных типов USB-устройств скачивают конфиденциальную информацию. Все технологии по защите вашей сети от внешних злоумышленников не могут воспрепятствовать обиженным сотрудникам, которые вполне могут использовать USB-устройства для загрузки злонамеренного ПО в сеть компании или для хищения информации из этой сети. прочитать полностью »

Программирование на Shell

C 21 марта будет проводиться очередной, уже ставший привычным тренинг по freeBSD. Ведущий тот же, Гаспар Чилингаров, тема на этот раз “Программирование на Shell“. Пока не знаю, зачем мне это, но уверен, что пригодится :)

Трое в серверной, не считая админа

Все началось в пятницу вечером. Я вообще не очень люблю пятницу – дни совершенно безумные, и у каждого из тысяч городских сумасшедших наступает обострение и ему обязательно надо срочно решить какую-нибудь проблему, которая, конечно же, не подождет до понедельника. Они звонят, пишут и всячески создают впечатление, что им что-то нужно решить именно до конца рабочих часов. Возможно, это связано с желанием как-то подвести итоги недели, но я подозреваю, что это все-таки ущербная психика.

Ну а эта пятница выдалась совершенно безумная. Городские сумасшедшие звонили и обрывали трубки идиотскими вопросами, курьеры носились как сумасшедшие… Ведь ну как приятно получить пакет по «сверхсрочному» тарифу за 20 минут рабочего дня, распечатать коричневую обертку, прочитать, хмыкнуть и положить в стол, где он будет валяться еще пару недель. А тут еще и Шеф. Шеф был просто квинтэссенция пятницы, курьеров и городских сумасшедших. Когда до конца рабочего дня оставалось всего ничего, он вызвал меня, как ведущего программиста, Сергея, нашего администратора баз данных и Кирилла, главного постановщика задач. Потрясая распечаткой писем от «наиважнейшего клиента», он проорал что-то про невыполненные обязательства, и, как обычно, приказал «унять и изжить». На вежливые возражения что проблема, в общем-то, известная, и давно висящая, а потому может повисеть и до понедельника он весьма невежливо прокомментировал нашу лояльность и послал «немедленно все исправить». прочитать полностью »

Настройка почтовой службы в Single Exchange Server 2007

Exchange Server 2007 имеет пять четких ролей: Почтовый ящик (Mailbox), Клиентский Доступ к Серверу (Client Access Server), Сетевой Концентратор (Hub Transport), Передача векторов (Edge Transport) и Унифицированная передача сообщений (Unified Messaging). Некоторые из этих функций можно устанавливать вместе или же распределять среди серверов. Количество серверов, используемых Exchange Server, может варьироваться в силу нескольких факторов, таких как:

  • Количество пользователей, использующих систему сообщений (Message System),
  • Роли высокой готовности (High Availability),
  • Роли отказоустойчивости (Fault tolerant),
  • Окружение кластеров (Cluster environments).

В некоторых маленьких компаниях использование одного Exchange Server 2007 становится необходимым (Рисунок 01), при таком использовании три роли будут вместе: Клиентский доступ к серверу, почтовый ящик и сервер-сетевой концентратор (Hub Transport Server). Нам придется выполнить несколько дополнительных действий, чтобы активировать роль концентратора сети с тем, чтобы отправлять и принимать Интернет сообщения. В данной статье мы рассмотрим необходимые шаги для роли сетевого концентратора. прочитать полностью »

Развертывание Windows Server 2008 с помощью System Center

С выпуском System Center Configuration Manager 2007, администраторы серверов могут воспользоваться теми же средствами развертывания операционных систем, которые были у администраторов клиентов уже в течение нескольких лет. В свое время, администраторам серверов часто приходилось выполнять ручную установку Windows Server®, используя компакт-диски или DVD, а затем часами занимаясь настройкой сервера. Некоторые администраторы брали на себя труд создания автоматических процедур установки, используя файлы unattend.txt и, возможно, службы удаленной установки (RIS) для автоматизации процесса установки и устранения необходимости физически присутствовать за консолью сервера. Те, кто занимался этим углубленно, пользовались службами автоматического развертывания для Windows Server 2003, чтобы полностью автоматизировать весь процесс создания сервера. Теперь, благодаря Windows Server 2008, процесс установки для серверов существенно изменен впервые с момента появления Windows NT® 4.0.

Развертывание Windows Server 2008 использует те же базовые средства и технологии развертывания, что и Windows Vista®. В силу этого, средства, которыми администраторы серверов пользовались в прошлом, будет необходимо обновить или заменить. RIS заменен на службы развертывания Windows® (Windows Deployment Services – WDS), а ADS не поддерживает развертывание Windows Server 2008. прочитать полностью »