Конец весны, начало лета... Вроде бы уже давно должны схлынуть талые воды, но резервный ADSL у меня дома решил сбоить только сейчас. И основная сеть вырубилась на выходные по не слишком понятной причине :-(.
Так что пришлось сходить за карточками DialUp. Сказалось отсутствие опыта - первый купленный по старой памяти вариант дал связь просто ужасного качества. Не ожидал, что такое на DialUp еще бывает на втором десятке лет эры интернет. Серфить еще кое-как можно (очень медленно), но даже на свой ftp залить ничего не удалось.
Пришлось повторить поход, в ходе которого сформировалась мысль провести исследование доступа от разных операторов. До этого был уверен, что качество всех DialUp-провайдеров стало примерно одинаковым, и сравнивать нечего. Но практика показала обратное - и примерно через неделю будет миниобзорчик по DialUp в Екатеринбурге.
Перерыв в связи имел и второе неожиданное следствие. Оказалось, что работать за отключенным от Сети компьютером психологически невероятно трудно. Понятно, что off-лайновых дел более чем достаточно, можно подготовить материал, выложить на DialUp, опять подготовить... Как это делалось в далеких 90-х.
Однако, использовать не включенный в Сеть компьютер - практически то же самое, что работать одному в закрытой на ключ комнате без окон. Соответственно, есть и термин, которым можно использовать по данному случаю - это Интернет-клаустрофобия. Именно она - боязнь изолированного от Сети виртуального пространства.
Интересно, как долго ждать появления этого словосочетания в медицинских учебниках?
Продолжу обзор с прежним местечковым уклоном. Что должна представлять собой опорная сеть оператора связи (причем далеко не монополиста)?
На карте Екатеринбург и пригороды. Красные линии, как легко догадаться, оптические магистрали Уральской телефонной компании (УТК). Общая протяженность - несколько сотен километров... Для передачи данных в основном используется Ethernet, для телефонии - традиционные потоки E1 и выше.
Думаю, что именно на эту сеть переключится большая часть домашних сетей в случае их "выдавливания" с "Уралсвязьинформовских" каналов ADSL (а тенденция к этому последнее время проявляется, к сожалению, все отчетливей).
Впрочем, тонкости местных межоператорских взаимоотношений едва ли интересны большинству читателей. Важно лишь понимать что "домашние сети" лишь выиграют с переходом на магистрального оператора с высокоскоростной оптикой (если, конечно, он постарается создать для этого хорошие условия). А в проигравших будет телефонный монополист, который так и не сможет (не успеет) вывести на рынок ADSL для конечного пользователя.
Не могу не сказать несколько слов к старому вопросу о создании сети передачи данных, открытой для использования другими операторами (транзитной сети, ТСПД, более подробно рассмотренной в #174). Примерно зная, сколько домашних сетей использует показанные на схеме магистрали, можно сделать однозначный (по крайней мере на мой взгляд) вывод - сеть "УТК" "продана" значительно меньше, чем инфраструктура ОАО "Сеть цифровых каналов" (СЦК), которая фактически использует парадигму ТСПД.
Причина - многие операторы видят в "УТК" прежде всего сильного конкурента, а не "магистрального" партнера. И не могут пойти на активное сотрудничество (прежде всего это относится к провайдерам среднего размера). Это практически не мешает "УТК" - понятно, что коммерческое предприятие заботится прежде всего о своей выгоде.
Но развитие интернет-рынка в городе все же от этого ощутимо замедляется...
Ну и весенняя тема.
Самодельные "классические" нетпротекты по схеме АРС, стояли на разных концах одного линка (около 100 метров П296).
Погорели недавно зимой, причина достоверно не известна. Предположительно выгорание связано с заземлением, потому что других вариантов не просматривается. Хабы на концах остались целыми, хотя запах в ящиках, где они находятся, стоял довольно крепкий (прислал Alexey Petrov).
Обновления в разделах невелики.
Автор данного текста Эдуард Афонцев, Екатеринбург.
В настоящее время доктрина информационной безопасности любого уровня обязательно включает подсистему обнаружения (распознавания) атак и вторжений путем сбора и анализа данных - IDS (intrusion detection system - система детектирования вторжений).
Основная задача комплекса IDS - мониторинг враждебных действий, как человеческих (хакерских), так и программных, например вирусов), на конкретном сервере или в определенном сегменте сети.
Обилие программных средств и разрозненных описаний требует некоторой систематизации и классификации (особенно в прикладном аспекте).
IDS условно подразделяются на следующие классы:
Рассмотрим наиболее известные некоммерческие IDS по порядку.
Host based IDS.
Приложения данного класса выполняются локально на конкретном сервере и служат для детектирования враждебных (нежелательных) изменений в его конфигурации, работе сервисов и расположенных на нем данных. Грубо говоря - сигнализируют о взломе или его попытках.
Аудиторы операционной системы (SIV - system integrity verifiers)
Tripware
Утилита мониторинга файловых изменений. Использует механизм контрольных сумм, снятия структуры директорий, отслеживания изменения размеров и атрибутов файлов и прочие методы. Проект перешел на коммерческие рельсы и в настоящее время доступна только древняя версия за 2001 год.
Aide
Практически полный аналог tripware (ее некоммерческий заменитель).
sXid
Монитор suid и sgid файлов. Используя suid и sgid атрибуты на исполняемых файлах локальный пользователь (нарушитель) может получить повышенные привелегии, что очень опасно. Поэтому небходимо следить за имеющимися в системе файлами с данными атрибутами.
Chrootkit
Утилита (скрипт) выявления троянизации системы. Предназначена для выявления известных ей закладок (штатных программ, замененных на троянские программы двойного назначения).
Кроме этого, можно использовать средства, встроенные в ОС. Дистрибутив практически каждой операционной системы содержит зачатки IDS - различные скрипты мониторинга безопасности. Например для FreeBSD - это security скрипт, выполняемый ежедневно.
В принципе не сложно сделать аудитор целостности своими руками: используя программы получения контрольных сумм файлов (md5sum или shalsum), а мониторинг suid файлов проводить утилитой find.
Анализаторы лог файлов (LFM - log files monitor)
LogCheck
Утилита проверки системных журналов (лог файлов) на отклонения. Мощное средство, позволяющее оповестить администратора в случае обнаружения в отчетах каких-либо проблем.
Swatch - Perl скрипт анализа лог файлов.
Logsurfer - Продвинутый анализатор лог файлов.
Расширения ОС (system security).
LIDS (linux intrusion detection system)
Комплект расширений для ядра linux (патч для ядра и утилиты), увеличивающих уровень безопасности и снижающих риск получения повышенных привилегий в системе. Включает в себя такие возможности как: MAC (mandatory access control) - систему разграничения полномочий и управления ими, детектор сканирования портов, а также защитные механизмы для файлов и процессов.
В результате даже суперпользователь (и его процессы), обычно всемогущественный в системе, будет ограничен в своих действиях в рамках заданных заранее правил.
OpenWall
Известный набор патчей ядра linux для предотвращения взлома самой операционной системы и локальных сервисов: защита от переполнения буфера (излюбленный метод хакеров), защита от атак через хардлинки, защита псевдофайловой системы proc и прочие.
Selinux
Security enhanced linux позволяет построить гибкую архитектуру принудительного контроля доступа (mandatory access control), с возможностью абстрактного описания необходимой политики безопасности.
Эффективен даже для отражения неизвестных атак. Доверие внушает как адрес сайта разработчика, так и то, что многие современные дистрибутивы linux включают в себя selinux.
MAC Framework
Интегрирование TrustedBSD MAC Framework в ос FreeBSD (версии 5). Представляет собой систему принудительного контроля доступа на уровне ядра, ограничивающую доступ к системным объектам и сервисам. По функциям данная подсистема аналогична Selinux.
Network based IDS
Firewalls
Практически все пакетные фильтры (ipfw freebsd, iptables linux, pf openbsd) имеют опции протоколирования, что позволяет проводить анализ сетевого трафика каким либо образом проходящего через шлюз или сервер.
Port scan detectors
PortSentry
Программа позволяющая в реальном режиме времени определить и блокировать попытки сканирования (в том числе скрытого) UDP и TCP портов сервера. Как известно, сканирование портов является первым этапом хакерской атаки и поэтому своевременная реакция в данном случае крайне важна.
Scanlogd - Solar Designer утилита детектирования сканирования с поддержкой raw socket.
Sniffers
Снифферами (от английского sniff - нюхать) называют программы, предназначенные для перехвата (прослушивания) сетевого трафика. Наиболее известными из них являются Tcpdump, Ethereal, Sniffit. Полноценными IDS они не являются (они вообще не являются IDS), но обрабатывая результаты их выполнения можно получить полезную информацию о сетевой активности (в том числе и враждебной).
Snort
Snort - это мощный перехватчик и анализатор сетевого трафика, основанный на библиотеке libpcap. Может производить как анализ протоколов (выявлять пакеты несоответствующие стандартам) так и анализ сигнатур (в перехватываемых пакетах выявляются враждебные образцы). С помощью многочисленных расширений может управлять файерволлами для блокирования нежелательного трафика (например fwsnort - iptables генератор).
В связке с sql сервером (mysql, postgresql) и php консолью acid представляет наиболее продвинутую систему NIDS.
Prelude
Современная и динамично развивающаяся гибридная система. Состоит из следующих компонентов:
Application based IDS
Приманки (ловушки)
Honeypot (общая теория)
Honeypot (в переводе с английского honey pot - бочка с медом) - технология создания специальной программной среды, приманки, предназначенной для изучения действий нарушителя. Для регистрации нежелательных действий можно применять как встроенные в honeypots средства, так и внешние IDS.
Honeyd
Самый известный эмулятор сетевых сервисов. Параллельно с ним желательно установить snort для регистрации дополнительной информации.
Apache modules
Mod_security
Один из множества модулей популярного сервера apache, выполняющий функции application IDS.
Выводы.
Задача построения современной системы обнаружения вторжений средствами open source выполнима - практически для любого класса задач есть достойные приложения.
Сегодня наблюдается развитие средств IDS от пассивного наблюдения и сигнализации к активной обороне и автоматическому предотвращению нарушений. В связи с этим даже появился новый термин - IPS (intrusion prevention system). О принципах построения IPS и флагманских программных продуктах читайте в следующей заметке.
Сети в Якутске (письмо прислал Andrei Kopylov).
... Складывается ощущение что город опутал какой то неведомый гигантский паук, надо головой нависают провода, вдоль всей улицы до самого горизонта. Местами они уложены в короба между домами, но таких мест очень мало.
Основная масса кабелей подвешена на тросе или на спирали (это видно на фото), но то ли от старости, то ли от плохого крепления, то ли от обилия снега и льда, большей частью спирали перестали выполнять свою функцию, сжались в кучу или вообще оборваны.
Местами стойки на крышах погнуло или сломало под тяжестью проводов. Они висят совершенно не натянутыми или провисли, так что их видимо подвязывают, чтобы не свисали слишком низко.
Закапывать провода в землю невозможно, в условиях вечной мерзлоты грунт не прогревается глубже одного метра. Кроме этого, грунт постоянно "плывет". Все коммуникации, в том числе вода и канализация, сделаны поверху, а дома стоят на сваях.
Тем не менее, оптика есть практически в каждом административном здании, подключение к сети по ethernet стоит около 6-9 тысяч рублей в зависимости от ситуации...
Антенна вверх ногами (прислал Vasyl Vakiv).
| ...Относительно недавно видел заметку о круговых антеннах для радиоезернета, установленных . для лучшей работы вверх "ногами".
Как мне кажется, это связано с неравномерным распределением мощности сигнала по элементам этой самой антенны. В результате диаграмма направленности получается не "блином", а конусом, с вершиной у конца и большей мощностью (вероятно, точка ввода фидера). Поэтому при "нормальной" установке антенна "светит" немного в небо. Соответственно, после "переворота" излучение в сторону абонентов возрастает, поскольку большинство их все-таки на земле. :-) Вероятно, это справедливо не для всех типов круговых антенн. Кстати, вот интересная ссылка на самодельную антенну с очень детальным описанием изготовления, но некоторыми "промахами" в формулах (результат таки правильный). Интересно было бы посмотреть на конструкции антенн промышленного производства "изнутри" (они обычно защищены пластиковым кожухом). Еще одна ссылка на изготовление антенн. Там много интересного, и много в формате PostScript. Но есть и в обычные pdf, png, jpg. Попытка упорядочить хаос (Сергей, Комсомольск-на-Амуре). Очень аккуратно вышло, надо сказать. Узел в холодильнике.... Наша сеть пока маленькая, всего 11 человек, но уже есть сервер (Pentium 100, 32 RAM, 2,5 HDD, FreeBSD 4.7). В связи с тем, что никому не хочется держать что-то дома, решили разместить его в подвале, благо подвалы все закрываются. Кабель к узлу подводиться через дыру в плите, рядом с трубами отопления. Как говорится, температура стабильная, внутри "холодильника" не подымается выше 40 градусов. Прислал Леванчук, город Улан-Удэ. Анонс
|
&description=Конец весны, начало лета... Вроде бы уже давно должны схлынуть талые воды, но резервный ADSL у меня дома решил сбоить только сейчас. И основная сеть вырубилась на выходные по не слишком понятной причине :-(. &image=https://nag.ru/uploads/material/images/995/social_cover.png)
&imageUrl=https://nag.ru/uploads/material/images/995/social_cover.png)
