VPN IPsec a F-Secure Client Security 9
Dodane przez Łukasz Matuszewski
Do prawidłowego funkcjonowania klienta VPN IPsec system operacyjny musi umożliwiać komunikację dwukierunkową na trzech protokołach:
- ESP / Encapsulating Security Payload
- IKE / Internet Key Exchange
- L2TP over UDP/IP / Layer Two Tunneling
Poniżej umieszczam instrukcję jak w F-Secure Client Security 9 odblokować działanie VPN IPsec:
- http://joeware.net/freetools/index.htm - if you manage ad domain you know this
- http://www.lifehack.org/ - this is great site about self development, organisation your life your space and greate articles about productivity and life simple..
- http://www.nu2.nu/pebuilder/ - stuff based on WinPE
- http://networking.ringofsaturn.com/Cisco/ciscocommandguide.php - when i have to configure cisco switch i always search for commands.
- http://cisco.webpark.pl/index1024.html - wanna CCNA?
- http://www.aumha.org/freeware/freeware.htm - freeware database
- http://dir.filewatcher.com/packages-directory.html - file search engine with *nix up-to-date packets
- http://www.networkworld.com/news/2005/041105-windows-crash.html?page=1 - good article about manage win crashes
- http://computer.howstuffworks.com/ - for curious person
- http://www.howtonetworking.com/Networking/ipconfig.htm#How%20to%20display%20the%20TCP/IP%20settings%20of%20all%20LAN%20connections - 'ipconfig' how to
- http://www.iana.org/numbers/ - Internet Protocol addressing
- http://www.cisco.com/en/US/docs/internetworking/technology/handbook/ito_doc.html - Internetworking Technology Handbook
- http://www.huddletogether.com/projects/lightbox2/ - good free script for showing pictures on www site.
- http://www.oreillynet.com/linux/cmd/ - linux's commands bringing together
- http://www.nirsoft.net/ - freetools for passrec,network... (very good)
- http://networking.nitecruzr.net/2005/05/essential-tools-for-desktop-and.html#AngryZiber - mvp's site with tools for networking, security and support
- http://www.iss.net/security_center/advice/Exploits/Ports/default.htm - tcp and udp ports description
- http://alexba.eu/ (pl) - blog of person which is addicted to selfdevelopment and coaching (very good)
- http://adminschoice.com/ - for sun and unix admin
- https://www.grc.com/passwords.htm - generate super password
- http://www.techgenix.com/ - for ms it pro - very good thematic (network, exchange, virtual...) site
- http://www.searchengines.pl/ (pl) - very good forum about internet , windows, hardware. if i have big problem with bad code there is answer always.
- http://www.obfuscation.org/ipf/ipf-howto.html - ip filtering how-to
- http://lukasz.bromirski.net/docs/translations/lartc-pl.html - routing
Zbiór linków na blogu Wojtka Napierały
Często bywa tak, iż jako administratorzy dostajemy polecenie sprawdzenia kto, kiedy i skąd się logował do serwera. Można to sprawdzić na wiele sposobów. Niestety sposoby standardowe polegające na śledzeniu logów systemowych stacji roboczych i serwera są czasochłonne i pracochłonne. Przegrzebywanie się przez setki wpisów w logach jest żmudną pracą. Efekt jakiego oczekuje pracodawca można uzyskać szybciej i sprawniej robiąc prosty trick.
Możemy wykorzystać zmienne systemowe: %date% %time% %computername% %sessionname% do napisania prostego skryptu, który zapisuje do plików tekstowych parametry użytkownika i stacji roboczej podczas logowania i wylogowywania się z serwera.
Jako, że plik wynikowy możemy zrobić w formacie CSV, możemy go szybko i łatwo otworzyć w Excelu, przez co filtrowanie wyników to już kwestia sekund, a nie minut czy godzin.
Skrypt w pliku .cmd powinien wyglądać następująco:
LOGOWANIE:
@echo off
set FilePath="\\srv1\AutoInstall$\LOG-LogonUsers\LogOnTimes.csv"
echo ZALOGOWANIE;%Date%;%Time:~0,8%;%ComputerName%;%UserName%;%sessionname% >> %FilePath%
exit
WYLOGOWANIE:
@echo off
set FilePath="\\srv1\AutoInstall$\LOG-LogonUsers\LogOnTimes.csv"
echo WYLOGOWANIE;%Date%;%Time:~0,8%;%ComputerName%;%UserName%;%sessionname% >> %FilePath%
exit
Skrypty umieszczamy na serwerze w Group Policy w sekcji: User Configuration -> Policies -> Windows Settings -> Logoff / Logon
Przykładowy wpis w pliku wynikowym powinien wyglądać następująco:
ZALOGOWANIE;2010-07-10;15:06:23;NAZWASTACJI;imie.nazwisko;Console
WYLOGOWANIE;2010-07-10;16:06:52;NAZWASTACJI;imie.nazwisko;Console
Niestety logowania do stacji roboczej z wyciągniętym kablem sieciowym nie uruchomią skryptu, przez co nie będziemy o nich wiedzieć. Rozwiązaniem jest wyłączenie cached credentials dla użytkowników lokalnych.
Tworzenie folderów udostępnionych przez GPP
Dodane przez Michał Ruta
Wykorzystując mechanizm Group Policy Preferences [GPP], który jest dostępny od Windows XP, możemy w łatwy i szybki sposób stworzyć wspólne dyski sieciowe. Możemy tym dyskom przypisać odpowiednie literki oraz uprawnienia dla użytkowników i grup.
Uwaga: w starszych niż wersja 7 systemach Windows należy dograć odpowiednie pakiety:
Aby to zrobić należy
- Stworzyć katalog udostępniany w systemie plików.
- W Active Directory stworzyć obiekt Folder Udostępniony
- W Zarządzaniu zasadami Grup tworzymy nową zasadę, np: Drive W i nadajemy jej następujące parametry:
- Możemy jeszcze ograniczyć uruchamianie się tej zasady dla konkretnych użytkowników lub grup wstawiając w pole Filtrowanie zabezpieczeń
- Po przelogowaniu się na stacji powinien być dostępny wspólny dysk pod literką, którą wybraliśmy.
Uruchamiamy z linii poleceń narzędzie Nslookup
Na początek ustalamy serwer DNS który chcemy odpytać o rekordy.
Domyślnie odpytywany jest serwer DNS który mam w konfiguracji IP naszego komputera.
server ns2.mrnet.pl
możemy sprawdzić wszystkie rekordy wpisane w domenie:
ls domena.com
aby odpytać o konkretny rekord, np.: MX należy wpisać:
ls –t mx domena.com
Zwykle BIND zainstalowany jest w katalogu /etc/namedb
Konfiguracja stref znajduje się w pliku named.conf. Do tego pliku raczej nie należy zaglądać, nie będąc doświadczonym adminem.
Dokonanie zmian w aktualnie obsługiwanych strefach nie jest jednak czynnością bardzo trudną i obsługę tych zmian możemy wydelegować na kogoś niezbyt obeznanego z linuxem.
Dzięki poniższej instrukcji możemy dokonać łatwego uaktualnienia stref na serwerze. Na przykład w momencie przenoszenia strony na nowy serwer musimy zmienić adres IP serwera, lub w momencie przekierowania poczty na nowy serwer pocztowy, także musimy zmienić adres IP serwera pocztowego (rekord MX).
Strefy znajdują się w katalogu /etc/namedb/master
Po wejściu do tego katalogu możemy wylistować jego zawartość (ls -la).
Przykładowo: aby dodać wpis test123 z adresem 127.0.0.1 do domeny mrnet.pl, edytujemy plik: /etc/namedb/master/mrnet.pl
i dodajemy na końcu (lub pomiędzy innymi wpisami typu A) następującą linijkę:
test123 A 127.0.0.1
UWAGA - Bardzo WAŻNA jest zmiana numeru seryjnego strefy ! Inaczej nasze zmiany w strefie nie będą działać poprawnie.
Przy każdorazowej edycji pliku strefy należy zmienić numer seryjny strefy. Znajduje się on na górze pliku i jest w formacie:
2010021101 (ROK MIESIĄC DZIEŃ NUMERZMIANY)
czyli w tym przykładzie mamy do czynienia ze strefą zmienioną 1 raz 11 lutego 2010 roku.
Jeśli tego samego dnia ktoś robiłby następną zmianę, zmieniłby tylko koniec seriala z 01 na 02, czyli 2010021102
Po dokonaniu odpowiednich zmian restartujemy usługę bind aby wczytała nasze zmiany.
Robimy to wpisując komendę:
/usr/local/etc/rc.d/named restart
Aby wyłączyć (skasować) jakąś strefę wystarczy w pliku named.conf zahashować ją i zrobić restart usługi. Serwer od tego momentu nie powinien odpowiadać na zapytania o tą strefę (domenę).
I to tyle. Sprawdzamy pingiem czy nasze zmiany są widoczne. Ewentualnie czekamy czyścimy konfigurację DNS pod Windows komendą: ipconfig /flushdns.
Zmiany powinny rozpropagować się w internecie w ciągu kilku godzin.
Większość serwerów posiada kontrolery do zarządzania i monitorowania stanu serwera. Na przykład w przypadku serwerów DELL są to kontrolery DRAC (Dell Remote Access Controller), w wersji light czyli Express, albo w wersji pełnej czyli Enterprise. Kontroler taki posiada opcję wysyłania wiadomości, gdy wystąpią jakieś problemy z serwerem. Problemem jest to, iż kontroler nie posiada opcji autoryzacji SMTP. Jedyne co można wpisać to:
- Destination E-mail Address
- E-mail Description
- SMTP (e-mail) Server IP Address
Aby móc odbierać takie maile trzeba przekonfigurować serwer Exchange aby wpuszczał wiadomości z kontrolera bez autoryzacji SMTP.
Robi się to następująco:
W EMC, czyli Exchange Management Console, wybieramy Hub Transport i tworzymy new Receive Connector.
Nadajemy mu jakąś przyjazną nazwę, np: Drac Settings, adresy lokalne pozostawiamy bez zmian, w zakładce "Remote Network" wpisujemy adres IP serwera (w początek i koniec ten sam), który będzie wysyłał maile, czyli adres IP routera klienta, z którego mail ten będzie wychodził. Po tym adresie nasz serwer Exchange wpuści maile bez autoryzowania.
Po zakończeniu wizarda wchodzimy ponownie w stworzony konektor, czyli wybieramy na nim Properties, i w zakładce Authentication oprócz domyślnie zaznaczonej opcji Transport Layer Security, zaznaczamy opcję Externally Secured.
W zakładce Permission Groups zaznaczamy opcję Exchange Servers.
Po zatwierdzeniu nasz Exchange powinien akceptować maile z podanego adresu IP.
Przeczytaj poniższy artykuł wyjaśniający wszystkie kwestie dotyczące trybów pracy uslugi ftp: czyli ftp aktywnego i pasywnego.
Kategorie
- Biznes Ciekawostki (12)
- Cisco (2)
- Hardware-Sprzęt (12)
- Marketing (6)
- Microsoft (44)
- Exchange (1)
- Foundation (1)
- Group Policy (3)
- Office (9)
- Servers (7)
- SharePoint (5)
- SQL (1)
- Time Synchronization (1)
- Vista (1)
- Windows 7 (12)
- Windows XP (5)
- Networking (8)
- Linux (1)
- Serwis (35)
- Minidump (1)
- Multimedia (2)
- Optymalizacja (3)
- Tips & Tricks (24)
- Wirusy (3)
- Software (6)
- Adobe (1)
- Comarch (1)
- F-Secure (1)
- Family Safety (1)
- OpenSource (1)
- Uncategorized (4)
- Virtualization (2)
- WordPress (6)