MOLEHAND Solutions - Nagyvállalati megoldások mindenkinek

 
Nyomtat  
Author: MOLEHAND Created: 2008. 09. 26. 23:33
Hálózat

By Molnár Péter on 2010. 08. 06. 11:07

A Microsoft néhány hasznos eszközt készített portok ellenőrzésére:
 
PortQry2 - parancsosors port ellenőrző, telepítést nem igényel
PortQryUI - grafikus port ellenőrző, telepítést nem igényel
PortReporter - Aktivitás figyelő és log készítő Windows service. Telepítés szükséges. További info itt.
 
UDP port ellenőrzésekor kaphatunk "open|filtered" választ ebben az esetben nem eldönthető, hogy nyitott-e a port. (pl. NTP: UDP123)

By Frang Tamás on 2010. 06. 06. 15:05

Ha hálózati megosztáshoz csatlakoztatunk egy meghajtót, a csatlakoztatott meghajtó kapcsolata adott inaktív időtartamot követően megszakadhat. A kapcsolat normál esetben pillanatok alatt újra létrehozható, de ez a "szakadás" adott esetben egyes programok működésével összeütközésbe kerülhet és problémákat okozhat. Az alábbi paranccsal ez az időtartam kitolható, avagy végtelenre is állítható (azaz kikapcsolható az automatikus kapcsolat bontás):
 
net config server /autodisconnect:szám
 
Ahol a szám helyére kell a percekben megadott kapcsolatbontási időt írni. Végtelenre a -1-es értékkel állíthatjuk.
 
Bővebb információ az alábbi Microsoft KB cikkben található:

By Halász István on 2010. 04. 01. 17:39


Az ISA alapból nem engedélyezi az FTP szerverekre való feltöltést (írást), 
még akkor sem, ha a kapcsolódásra külön szabályt hozunk létre.

Beállítás

  1. Nyissuk meg az ISA Management Console-t

  2. Ha még nincs, hozzunk létre egy új Access rule-t az FTP 
    protokolhoz, pl. a jobb oldali panel Task füle alatti menüpontra 
    klikkelve:


               
     
  3. Nevezzük el a szabályt, pl. Allow FTP R/W névre:


     
  4. Rule Action oldalon válasszuk ki az Allow opciót

  5. Protocols oldalon válasszuk a  Selected Protocols opciót



    majd klikkeljünk az Add gombra, keressük ki az FTP protokolt, és ismét Add, majd Close



     
  6. Klikkeljünk a Next-re


     
  7. Klikkeljünk az Add gombra, majd válasszuk ki a Networks mappát, majd az Internal hálózatot, aztán klikkeljünk a Close gombra, végül a Next-re:



     
  8. Klikkeljünk az Add gombra, majd válasszuk ki a Networks mappát, majd az External hálózatot, aztán klikkeljünk a Close gombra, végül a Next-re:


     
  9. Válasszuk az All Users opciót:



     
  10. Ellenőrizzük le a beállításokat, majd klikkeljünk a Finish-re:



     
  11. Klikkeljünk az Apply gombra, hogy a változtatások mentésre kerüljenek. Ezt a gombot a középső panel tetejénél találjuk:


     
  12. A szabálynak valahogy így kell kinéznie:

  13. Ahogy már említettük, ez a szabály jelenlegi állapotában még csak a letöltést engedélyezi. A feltöltéshez a következő lépésekre van szükség
     
  14. Jobbklikkeljünk a szabályra, és válasszuk a Configure FTP opciót



  15. Vegyük ki a pipát a Read Only elől, majd OK


     
  16. Klikkeljünk az Apply gombra, hogy a változtatások mentésre kerüljenek.

/Forrás: http://www.elmajdal.net/isaserver/Allowing_FTP_Uploads_Through_ISA_Server_2004_2006.aspx/

By Halász István on 2009. 11. 25. 10:53

Website (URL) szűrés:
 
A Cisco 5500-as sorozatú ASA-kon lehetőség van adott website-ok elérésének korlátozására reguláris kifejezések segítségével. Ennek menete parancsori kezelőfelületen a következő:
  1. Belépünk a kezelőfelületre, majd az en paranccsal belépünk privilegizált üzemmódba.
     
  2. configure terminal
  3. regex domainlist1 "rapidshare\.(com|de)"

    Létrehozunk egy egy új reguláris kifejezést, amely illeszkedik a szűrni kívánt domainnévre.
     
  4. class-map type regex match-any DomainBlockList
     match regex domainlist1
    (match regex domainlist2
     match regex domainlist3
     ...)
    exit

    Létrehozunk egy DomainBlockList nevű regkif osztályt, és beletesszük a szűrni kívánt domainekre illeszkedő reguláris kifejezéseket.
     
  5. class-map type inspect http match-all BlockDomainsClass
    match request header host regex class DomainBlockList
    exit


    Létrehozunk egy BlockDomainsClass nevű osztályt, amit a request header mező DomainBlockList osztályban lévő regkif-ekkel való összehasonlításához használunk.
     
  6. policy-map type inspect http http_inspection_policy
    parameters
    class BlockDomainsClass
    reset log
    exit


    Létrehozunk egy http vizsgálat policy-t, amelyben meghatározzuk, hogy mit tegyen az ASA a forgalommal illeszkedés esetén. Jelen esetben reseteljük a kapcsolatot, és bekapcsoljuk a logolást.
     
  7. access-list inside_mpc extended permit tcp any any eq www
    access-list inside_mpc extended permit tcp any any eq 8080

    Létrehozunk egy ACL-t inside_mpc néven, hogy a 80-as porton zajló forgalomra hivatkozni tudjunk, majd ehhez hozzádjuk a 8080-as forgalmat is.
     
  8. class-map httptraffic
    match access-list inside_mpc
    exit


    Létrehozunk egy új forgalom osztályt httptraffic néven az előzőleg létrehozott ACL segítségével.
     
  9. policy-map inside-policy
    class httptraffic
    inspect http http_inspection_policy
    exit
    exit


    Létrehozunk egy inside-policy elnevezésű policy-t, amelyben meghatározzuk, hogy mit tegyen az ASA a httptraffic osztály által meghatározott forgalommal. Jelen esetben bekapcsoljuk rá a http vizsgálatot a http_inspection_policy alapján.
     
  10. service-policy inside-policy interface inside

    Alkalmazzuk a fenti policy-t a megfelelő (jelen esetben az inside) interface-re.
     
  11. exit

    Kilépünk config üzemmódból, és ezzel élesítjük az új beállításokat.
     

By Halász István on 2009. 09. 30. 21:55


Bizonyos típusú parancsok esetén elég csak újra kiadni a parancsot a korrekt paraméterekkel, és egyszerűen felülíródik az előző beállítás, de ez nem minden esetben működik.
Utóbbi esetben két parancsot tudunk használni:
  1. clear: Egy adott parancs beállításainak törlésére használhatjuk ezt a parancsot.

    Szintaktika:
    clear configure configurationcommand [level2configurationcommand]

    Pl.:
    clear configure aaa

    Ha csak az aaa authentication parancs beállításait szeretnénk törölni, akkor a következő parancsot kell kiadnunk

    clear configure aaa authentication
     
  2. no: Ha csak egy parancs egy adott paraméterét vagy opcióját szeretnénk törölni, akkor ezt a parancsot kell használnunk.

    Szintaktika:
    no configurationcommand [level2configurationcommand] qualifier

    qualifier részben határozhatjuk meg a konkrét sort, amit ki szeretnénk törölni azzal, hogy begépelünk annyit a parancsból, ami már egyértelműen azonosítja.
     
    Pl. egy konkrét nat parancs eltávolításához:
    no nat (inside) 1

Megjegyzések:

  • A kezdő konfiguráció (startup configuration) kitörléséhez a következő parancsot kell kiadni:

    write erase
     
  • A futó konfiguráció (running configuration) kitörléséhez a következő parancsot kell kiadni:

    clear configure all

By Halász István on 2009. 08. 13. 13:57

Az OpenVPN által használt TAP device csak admin jogokkal használható. Megoldás: az OpenVPN service-ként való futtatása.
 
Ehhez a user számára a service indításához és leállításához jog biztosítása a resource kitben lévű subinacl.exe toolal történhet (a username a példában MH\vk):
 
subinacl /SERVICE "OpenVPNService" /GRANT=MH\vk=TO
 
A kényelmesebb használat miatt registry módosításokkal beállítható, hogy az OpenVPNGUI a service-t kezelje, és ne külön processt próbáljon indítani, és így a systray-en lévő ikon segítségével tudjuk indítani ill. leállítani a service-t.
 
[HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI]
"allow_service"="1"
"service_only"="1"
 
Ha nem probléma, akkor adjunk a user(eknek) jogot a
\config és a
\log
mappákra, ekkor tud változtatni a konfigon, ill. tud jelszót cserélni.
 
Ha igen, akkor viszont el tudjuk rejteni a GUI-ban az ehhez kapcsolódó menüpontokat:
 
[HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI]
"allow_password"="0"
"allow_edit"="0"

By Halász István on 2009. 07. 02. 22:05

A következő a teendő, ha valamely port nem működik:
 
  • csatlakozzunk a sw.-re telnettel
    telnet 10.0.0.5
  • lépjünk be "admin" módba
    en
  • listázzuk ki az err-disabled portokat
    Switch# show interfaces status err-disabled
    Port    Name               Status         Reason
    Fa9/4                      err-disabled   link-flap

  • ha van ilyen port, a következő parancssorozattal tudjuk resetelni:
    conf t
    int Fa9/4
    shut
    no shut

Az összes port státuszát egyébként a következő paranccsal tudjuk áttekinteni:
show int status

By Molnár Péter on 2009. 06. 08. 21:24

Az ASDM felületen többször találkoztunk azzal a problémával, hogy a "TOP 10 source" és "TOP 10 destination" kijelzők nem működnek, ráadásul nem is lehet engedélyezni.
A megoldás CLI-ben a következő:
 

threat-detection basic-threat

threat-detection statistics host

threat-detection statistics port

threat-detection statistics protocol

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

 

By Körmendi Szilvia on 2009. 02. 01. 3:12

Az régi original-translated problematika...
 
A szabályt úgy kell értelmezni, hogy az original rész arra vonatkozik, hogy eredetileg mi lenne a paraméter, és ezt a NAT mire cserélje, azaz mi legyen a translated.
 
Tehát ha publikálnánk a 10.x.x.x-et akkor a feladat, hogy az eredetileg a belső interface-n lévő 10.x.x.x-et NAT-olja az eszköz a külső interface w.x.y.z (publikus) IP-jére.
 
Port esetében pedig az original az a port amin valójában(eredetileg) hallgat a szolgáltatás, a translated, pedig ami a NAT után lesz a translated interface-en.
 
A forgalom, statikus NAT-nál két irányú, tehát nem azt kell megadni, hogy honnan hova, hanem hogy bármilyen irányban mit mire cseréljen az eszköz.
 
A default dinamikus szabály értelmezése is hasonló: Minden eredetileg belső interfészről érkező csomagot fordítson a külső interface adott (publikus) IP-jére. Ez a szabály nyilvánvalóan egy irányú, hiszen Egy külső interface-re érkező csomagot nem lehet minden belső címre fordítani!
 
FONTOS: Tehát, hogy tiszta legyen, az irány azt jelenti, merre lehet kezdeményezni! (Mivel a csak kifelé engedni csomagokat értelmetlen, hiszen nyilván választ szeretnénk kapni!)

By Nagy Balázs on 2008. 07. 10. 17:08

Ha távolról szeretnénk elérni a célgépet, megtehetjük VPN (PPTP) segítségével.
XP:
Vista:
 
A host gépnek kell egy fix-ip, a csatalkozás pedig gyors és kényelmes Start ->Csatlakozás -> [vpn connection name]
 
Amennyiben a gép router mögött van, NAT ( Port Forward ) szükséges. A portok : 1723,500,50,51  valamint engedélyezni kell a PPTP passthrough-t is! 

Számítsa ki költségeit
  kalkulátorunkkal

tovább    

és nyerje meg
50 000 Ft értékű

ajándékunkat  

Akciós ajánlatunk

 Több szolgáltatót is volt szerencsém kipróbálni. Jelenleg minden projektünk a MOLEHAND-nél van elhelyezve, mert Ők nem csak egy szelet számítógépet adnak, hanem valódi szolgáltatást: Akármibe ütközök számíthatok a gyors és szakszerű reakcióra!