В данном документе мы рассмотрим, что такое IP фрагментация, как она происходит и почему является нежелательным явлением в сетях, а также рассмотрим пару сценариев как ее предотвратить.
IP Фрагментация и Реассемблирование
IP Протокол был спроектирован для использования на широком разнообразии каналов передачи данных. Хотя максимальная длина датаграммы IP – 64 КБ, большинство каналов передачи данных устанавливают максимальный предел длины пакета, названный MTU.
Значение MTU зависит от типа канала передачи данных. Дизайн IP протокола приспосабливается к различным MTU, разрешая маршрутизаторам фрагментировать IP датаграммы по мере необходимости. За сборку (реассемблирование) фрагментов обратно в оригинальную IP датаграмму полного размера ответственна принимающая сторона.
IP Фрагментация это разбиение датаграммы на множество частей, которые могут быть повторно собраны позже. Для IP фрагментации и повторной сборки используются такие поля из IP заголовка как источник, адресат, идентификация, полная длина, и смещение фрагмента, наряду с флажками “больше фрагментов” (MF) и “не фрагментировать” (DF).
Изображение ниже изображает расположение IP заголовка
Идентификация это 16 битовое поле и есть значение, назначенное отправителем IP датаграммы. Используется для последующей сборки фрагментов датаграммы. прочитать полностью »
ARP-spoofing (ARP-poisoning) — техника сетевой атаки применяемая преимущественно в Ethernet, но возможная и в других, использующих протокол ARP сетях, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена.
Итак, исходные данные:
- Локальная сеть типа Ethernet, построенная на неуправляемых коммутаторах
- Отсутствие статических arp-таблиц у жертвы
- Наличие персонального брэндмауэра у жертвы
- Атакующий должен создать фиктивную запись в arp-таблице жертвы в обход персонального брэндмауэра
Анализ работы персонального брэндмауэра
В последнее время внедрение защиты от arp-спуфинга стало популярной идеей среди разработчиков персональных межсетевых экранов. Я точно не знаю какой производитель первым реализовал данный механизм. Однако, первый продукт попавший мне на глаза с такой функцией был Agnitum Outpost Firewall. Потом компания Агава объявила о выходе своего Agava Firewall с поддержкой аналогичной защиты. И, на сколько мне известно, лаборатория Касперского тоже вдохновилась идеей реализации подобной функции в будущую версию Kaspersky Internet Security 8.0 прочитать полностью »
February 28, 2008 – 2:16 pm
Само собой разумеется, что любой основной выпуск новой версии программного обеспечения для предприятий потребует от администраторов этой продукции пройти очередной виток образовательной спирали, что естественным образом повлечет за собой много вопросов о процессах и процедурах в работе этой продукции. Exchange 2007 в данном смысле не является исключением.
За последние несколько месяцев я заметил, что много вопросов касается различных новостных групп, почтовых списков и форумов, которые можно разделить по категориям в формате “In Exchange 2007, how do I….?”. Очевидно, что из-за основных архитектурных изменений в Exchange 2007, в ней появилось множество новых функций и процедур, с которыми администраторам предстоит разбираться. Мне и самому приходилось сталкиваться со многими задаваемыми вопросами и бывать в весьма затруднительных ситуациях, поэтому в данной статье я собрал материал по некоторым проблемам, связанным с управлением почтовыми службами в Exchange 2007 и способам их решения. Надеюсь, что в предстоящие месяцы мне удастся собрать дополнительные статьи, касающиеся других проблем и ситуаций, с которыми администраторам приходится сталкиваться на пути познания основ администрирования Exchange 2007. Я буду детально описывать то, что, на мой взгляд, является правильным способом решения проблем. Хотя две основные нижеизложенные проблемы в большей степени касаются почтовых ящиков и/или учетных записей, их симптомы встречаются и в Outlook Web Access (OWA). прочитать полностью »
February 28, 2008 – 2:08 pm
Представители Microsoft заявили, что Exchange Server 2007 ‘создан безопасным’. Exchange 2007 был разработан и создан в соответствии с жизненным циклом разработки безопасности компьютеризации, заслуживающей доверия (Trustworthy Computing Security Development Lifecycle (TWC)), который впервые был представлен в октябре 2002 года. Microsoft многое изменила в этой системе, а различные усовершенствования связанные с безопасностью, были интегрированы в Exchange Server 2007. Представители Microsoft утверждают, что Exchange Server 2007 более безопасен, чем все предыдущие версии Exchange.
Безопасен по умолчанию
Microsoft попыталась защитить Exchange Server 2007 с помощью существующих технологий безопасности. Одной из задач было обеспечение того, чтобы практически каждый важный бит трафика был зашифрован по умолчанию. Компания выполнила эту задачу за исключением кластеров коммуникаций протокола Server Message Block (SMB) и Unified Messaging (UM). Exchange Server 2007 – первая система для работы с сообщениями от Microsoft, использующая сертификаты self-signed. Вдобавок, Exchange Server 2007 использует технологию Kerberos для специальных соединений, Secure Sockets Layer (SSL) и других приемов шифрования. прочитать полностью »
February 28, 2008 – 1:50 pm
В этой статье я покажу, как укрепить сетевое окружение Exchange Server 2007 с помощью SP1 (Beta), установленного на Windows Server 2008 (также Beta). Мы поговорим о шагах, необходимых для укрепления базовой операционной системы путем установки минимального количества служб и сервисов сервера. Во второй статье речь пойдет об установке и работе с безопасным приложением установки Exchange Server 2007, а в третьей статье я объясню, как защитить клиентский доступ в OWA, POP3/MAP4 и как бороться с вирусами и спамом.
Прежде чем мы начнем, пожалуйста обратите внимание на то, что эта статья основана на бета-версии Windows Server 2008 и Exchange Server 2007 SP1, и некоторые функции могут быть изменены или убраны из конечной версии продукта.
Я также не буду затрагивать темы, которые Ру Сильва обсуждал в своей серии статей “Укрепление Exchange Server 2003″. Эта серия статей будет сфокусирована на новых характеристиках и темах, связанных с Exchange Server 2007 и Windows Server 2008. Если вы располагаете дополнительной информацией о защите сетевого окружения, обучаете пользователей и т.д., я бы порекомендовал вам прочесть серию статей Exchange 2003. прочитать полностью »
February 25, 2008 – 6:50 pm
Потихоньку заполняю свою библиотеку, в последние несколько дней добавил довольно большое кол-во книг по сетям, Cisco. На очереди книги по Windows Server, Exchange, ISA и ещё всякого хлама :)
Сегодня поставил в шаблон библиотеки 2 блока директа и окончательно убрал адсенс. Связано с тем, что после нового года адсенс сильно занизил у меня тут цену, по центу за клики в течение месяца это слишком. Разбираться лень, оптимизировать блоки лень, искать и исключать хреновые дешевые площадки лень. С директом все сейчас намного симпатичней, да и вывод на яндекс деньги намного веселей, чем ждать чек от адсенса. прочитать полностью »
February 25, 2008 – 2:42 pm
Анонс веб-трансляций по Windows Server 2008
1. Сетевой стек нового поколения NG TCP/IP для Windows Vista и Windows Server 2008
В данной веб-трансляции мы будем говорить о том, что изменилось в TCP/IP стеке Windows Server 2008 и Windows Vista и какие новые возможности это нам дает:
• Изменения в архитектуреTCP/IP
• Краткое введение в теорию работы IPv6
• Новые механизмы работы с IPv4 и /v6
• Масштабируемая многопроцессорная обработка TCP/IP в NDIS 6.0
• Подсистема обеспечение качества сервиса QoS, основанная на политиках
• Изменения в протоколе Kerberos
• Протокол Windows Peer-to-Peer Networking прочитать полностью »
February 25, 2008 – 2:11 pm
GRE (Generic Routing Encapsulation) — протокол туннелирования сетевых пакетов, разработанный фирмой Cisco. Протокол GRE обеспечивает механизм инкапсуляции произвольных пакетов в произвольный транспортный протокол. В наиболее общем случае система имеет пакеты, которые нужно инкапсулировать и маршрутизировать (информационные пакеты). Информация (payload) сначала инкапсулируется в пакет GRE, который может также содержать маршрут.
Полученный в результате пакет GRE инкапсулируется в пакет другого протокола (протокол доставки). В данной статье мы рассмотрим форматы пакетов проткола GRE.
GRE версии 0
Формат заголовка GRE версии 0 выглядит следующим образом. прочитать полностью »
February 25, 2008 – 2:08 pm
В данном документе мы рассмотрим базовые команды устройств защиты Cisco ASA и PIX фаервола, необходимые для работоспособности данных устройств. Знакомство с тюнингом устройств защиты от Cisco мы начнем с тех минимальных команд, которые необходимы для начала работы. Это: hostname, interface, nat-control, nat, global, route, а также nameif, security-level, ip address.
Hostname
В сети с большим многообразием сетевого оборудования семейства кошачих есть смысл давать уникальные имена данным устройствам. Для этого существует интуитивно понятная команда hostname. Имя может иметь до 63 буквенно-числовых символов в верхнем и нижнем регистрах. прочитать полностью »
February 25, 2008 – 1:59 pm
Возвратимся в Октябрь 2006 – тогда Микрософт купил компанию DesktopStandard. Один из их самых выдающихся продуктов – PolicyMaker – теперь стал элементом серии продуктов Микрософта как часть Windows Server 2008, а также инструментального комплекта администрирования удаленного сервера (Remote Server Administration Toolkit – RSAT), к которому я еще вернусь в этой статье.
Программное обеспечение PolicyMaker, в отличие от постоянной Групповой Политики, включает в себя возможности контроля и настройки с центрального компьютера более большого количества объектов. Некоторые установки глобальных параметров на самом деле перекрыты «реальными» установками Политики, но в этом случае у вас есть выбор между Политикой и глобальными параметрами. Поэтому вы можете спросить: так в чем же разница? Хорошо, «Политика» – это что-то, на что вы влияете, и что не может быть изменено пользователем; «глобальные параметры» – это установка, которую вы можете предпочесть для использования пользователем, но пользователь все еще не может их менять. прочитать полностью »
