По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Зачастую взлом инфраструктуры происходит не с помощью сверхсекретных разработок или специально созданных "организмов" ("вирусов", "червей", "пауков", "дятлов" - нужное подчеркнуть), а из-за стандартных ошибок в настройках и дизайне. Ликвидировать эти недочёты - проще простого, но с такой же простотой они и создают огромные возможности для хакерских атак. Как отмечают специалисты по безопасности, появления подобных упущений в системе встречается настолько часто, что создаётся впечатление, что для таких ошибок существуют спецкурсы. Поэтому задачей данной статьи не является рассказ о самых современных методах защиты - мы просто постараемся заставить читателей задаться вопросом: "А всё ли хорошо в нашей системе безопасности и всё ли мы предусмотрели для того, чтобы конкуренты не смогли воспользоваться нашими данными и разработками и как устранить неполадки в нашей системе?".
Локальная учётная запись? Забудьте об этом.
Уж сколько раз твердили миру... Слова дедушки Крылова как нельзя лучше характеризуют данную ситуацию - она постоянно возникает и о ней всё время напоминают. Не надо (совсем нельзя) создавать доменной групповой политикой локальные учетные записи на хостах в вашем домене. Говоря военными терминами - уровень опасности красный.
Причина самая банальная - данные по записи (в том числе и пароль) хранится в открытом доступе и по умолчанию доступен всем участникам группы. Если кому интересно, то он находится в файле groups.xml, в ресурсе sysvol контроллера домена, но при этом ключ один на всех. Таким образом, любой желающий может скачать файл и путём нехитрых телодвижений стать администратором группы. Думаю о последствиях говорить не надо.
Чтобы не получилось подобных конфузов надо просто добавлять только доменные учетные записи в локальные группы на хостах.
Права юзеров - на необходимый минимум.
Каждая учётная запись имеет свои права для работы в системе и создана для работы конкретной направленности. Поэтому необходимо минимизировать права каждого пользователя системы, так чтобы они подходили под зону его ответственности. Таким образом, снизится риск утраты контроля над записью, и каждый будет знать только свою, необходимую ему информацию.
UAC - на максимум!
Поставьте на максимум User Account Control (UAC). Его, конечно, можно обойти, но он создаст лишнюю нагрузку для атаки, а время в таких вопросах - играет Вам на руку.
Никакого доступа к учетным данным и хэшам
MIMIKATZ - это утилита, которая очищает память процесса, ответственного за проверку подлинности Windows (LSASS). Затем она и выдает пароли в виде открытого текста и хеш-коды NTLM, которые злоумышленник может использовать для перемещения по сети. Чтобы защититься от неё, надо соблюдать несколько простых правил:
Обновите ваш Active Directory как минимум до 2012 R2;
Следите за обновлениями Windows и постоянно их устанавливайте;
Помещайте важные учетные записи в группу защищенных пользователей и установите параметр реестра;
Не предоставляйте учетной записи больше прав администратора, чем им нужно;
Продолжим тему NTLM, поднятую в предыдущем пункте. Его нужно запретить - от слова совсем. Есть такая замечательная штука, как pass-the-hash. Она, как это можно понять из названия, передаёт хеш NTLM на абсолютно любой хостинг, где разрешён NTLM и атакующий всё про вас узнает. Более того, его также можно передавать вместо учетной записи и ее пароля при атаках.
Навешайте ярлыков на рабочий стол
В прямом смысле - поставьте ярлыки на рабочий стол, которые будут связывать с общими файловыми ресурсами. Тем самым Вы уйдёте от сетевых дисков, а malware почти никогда не воспримет их как сетевые ресурсы. Причина, как всегда, банальная - malware путём перебора букв ищет названия дисков. Конечно, данный совет подходит не всем компаниям, но если возможность подобного похода существует - попробуйте.
Отключите скрытые файловые ресурсы!
И вновь из-за банальной причины. Они - первоочередная цель действия malware и злоумышленников. Конечно, это не все инструменты защиты инфраструктуры, но каждый случай нужно рассматривать отдельно, как и индивидуальные настройки для каждой инфраструктуры.
Одним из преимуществ и популярности EIGRP является его быстрая конвергенция в случае сбоя связи. Однако одно, что может замедлить эту конвергенцию, - это конфигурация таймера. Именно этому посвящена эта статья, которая является третьей в серии статей о понимании EIGRP.
Предыдущие статьи из цикла про EIGRP:
Часть 1. Понимание EIGRP: обзор, базовая конфигурация и проверка
Часть 2. Про соседство и метрики EIGRP
Часть 2.2. Установка K-значений в EIGRP
Следующие статьи из цикла:
Часть 4. Пассивные интерфейсы в EIGRP
Часть 5. Настройка статического соседства в EIGRP
Часть 6. EIGRP: идентификатор роутера и требования к соседству
Начнем наше обсуждение таймеров EIGRP с рассмотрения ситуации, когда два соседа EIGRP непосредственно связаны друг с другом. Если физическая связь между ними не работает, подключенный интерфейс каждого роутера отключается, и EIGRP может перейти на резервный путь (то есть возможный маршрут преемника). Такая ситуация показана на следующем рисунке:
Роутеры OFF1 и OFF2, показанные на приведенном выше рисунке, соединены друг с другом. Поэтому, если кабель между ними обрывается, каждый из интерфейсов роутера, соединяющихся с этим звеном, отключаются, и EIGRP понимает, что он просто потерял соседа и начинает перестраиваться. Однако нарушение связи между несколькими соседями EIGRP не всегда так очевидно. Например, рассмотрим вариант предыдущей топологии, как показано ниже:
Обратите внимание, что между роутерами OFF1 и OFF2 был подключен коммутатор (SW4) на рисунке выше. Если происходит сбой соединения между коммутатором SW4 и роутером OFF1, роутер OFF2 не сразу осознает это, потому что его порт Gig0/1 все еще находится в состоянии up/up. В результате роутер OFF2 может продолжать считать, что роутер OFF1 - это наилучший путь для доступа к сети, такой как 192.0.2.0 /24. К счастью, EIGRP использует таймеры, чтобы помочь EIGRP-спикер роутерам определить, когда они потеряли связь с соседом по определенному интерфейсу.
Таймеры, используемые EIGRP, - это таймеры Hello и Hold. Давайте задержимся на мгновение, чтобы изучить их работу, потому что таймер Hold не ведет себя интуитивно. Во-первых, рассмотрим таймер Hello. Как вы можете догадаться, это определяет, как часто интерфейс роутера отправляет приветственные сообщения своему соседу. Однако таймер Hold интерфейса - это не то, как долго этот интерфейс ожидает получения приветственного сообщения от своего соседа, прежде чем считать этого соседа недоступным. Таймер Hold - это значение, которое мы посылаем соседнему роутеру, сообщая этому соседнему роутеру, как долго нас ждать, прежде чем считать нас недоступными. Эта концепция проиллюстрирована на рисунке ниже, где роутер OFF2 настроен с таймером Hello 5 секунд и таймером Hold 15 секунд.
Два больших вывода из этого рисунка таковы:
Таймер Hello роутера OFF2 влияет на то, как часто он посылает приветствия, в то время как таймер Hold роутера OFF2 влияет на то, как долго роутер OFF1 будет ждать приветствий роутера OFF2.
Указанное время Hello и Hold является специфичным для интерфейса Gig 0/1 роутера OFF2. Другие интерфейсы могут быть сконфигурированы с различными таймерами.
Поскольку таймер Hold, который мы отправляем, на самом деле является инструкцией, сообщающей соседнему роутеру, как долго нас ждать, а не как долго мы ждем Hello-сообщения соседа, причем у каждого соседа может быть свой набор таймеров. Однако наличие совпадающих таймеров между соседями считается лучшей практикой для EIGRP (и является требованием для OSPF).
Чтобы проиллюстрировать конфигурацию и проверку таймеров EIGPR, допустим, что роутер OFF1 имел таймер Hello 1 секунду и таймер Hold 3 секунды на своем интерфейсе Gig 0/1 (подключение к OFF2). Затем мы захотели, чтобы роутер OFF2 имел таймер Hello 5 секунд и таймер Hold 15 секунд на своем интерфейсе Gig 0/1 (подключение к роутеру OFF1). Такая конфигурация укрепляет понятие того, что соседи EIGRP не требуют совпадающих таймеров (хотя лучше всего иметь совпадающие таймеры). В следующем примере показана эта конфигурация таймера для роутеров OFF1 и OFF2.
OFF1#conf term
Enter configuration commands, one per line. End with CNTL/Z.
OFF1(config)#int gig 0/1
OFF1(config-if) #ip hello-interval eigrp 1 1
OFF1(config-if) #ip hold-time eigrp 1 3
OFF1(config-if) #end
OFF1#
OFF2#conf term
Enter configuration commands, one per line. End with CNTL/Z.
OFF2(config)#int gig 0/1
OFF2 (config-if) #ip hello-interval eigrp 1 5
OFF2 (config-if) #ip hold-time eigrp 1 15
OFF2(config-if) #end
OFF2#
Команда ip hello-interval eigrp asn h_intls вводится на каждом роутере для установки таймеров Hello. Параметр asn определяет настроенную автономную систему EIGRP равным 1, и таймер Hello для роутера OFF1 настроен равным 1 секунде, в то время как таймер Hello для роутера OFF2 настроен равным 5 секундам. Аналогично, команда ip hold-time eigrp asn ho_t вводится на каждом роутере для установки таймеров Hold. Опять же, обе команды задают автономную систему 1. Таймер Hold роутера OFF1 настроен на 3 секунды, в то время как таймер Hold роутера OFF2 настроен на 15 секунд. В обоих случаях таймер Hold EIGRP был настроен таким образом, чтобы быть в три раза больше таймера Hello. Хотя такой подход является обычной практикой, он не является обязательным требованием. Кроме того, вы должны быть осторожны, чтобы не установить таймер Hold на роутере со значением меньше, чем таймер Hello. Такая неверная конфигурация может привести к тому, что соседство будет постоянно "падать" и восстанавливаться. Интересно, что Cisco IOS действительно принимает такую неправильную конфигурацию, не сообщая ошибки или предупреждения.
EIGRP использует таймер Hello по умолчанию 5 секунд и таймер Hold по умолчанию 15 секунд на LAN интерфейсах. Однако в некоторых ситуациях на интерфейсах, настроенных для Frame Relay, таймеры по умолчанию будут больше.
Далее, посмотрим, как мы можем проверить настройки таймера EIGRP. Команда show ip eigrp neighbors, как показано в примере ниже, показывает оставшееся время удержания для каждого соседа EIGRP.
Обратите внимание в приведенном выше примере, что значение в столбце Hold равно 2 секундам для роутера OFF1 (то есть 10.1.1.1) и 13 секундам для роутера OFF3 (то есть 10.1.1.10). Эти цифры говорят нам о не настроенных таймерах Hold. Они говорят нам, сколько времени остается до того, как роутер OFF2 отключит этих соседей, в отсутствие приветственного сообщения от этих соседей. Роутер OFF2 перезапускает свой обратный отсчет времени Hold для роутера OFF3 до 15 секунд (таймер Hold роутера OFF3) каждый раз, когда он получает Hello сообщение от OFF3 (которое OFF3 отправляет каждые 5 секунд на основе своего таймера Hello). Поэтому, если вы повторно выполните команду show ip eigrp neighbors на роутере OFF2, вы, вероятно, увидите оставшееся время Hold для роутера OFF3 где - то в диапазоне 10-14 секунд. Однако, поскольку роутер OFF1 настроен с таймером Hold 3 секунды и таймером Hello 1 секунды, оставшееся время Hold, зафиксированно на роутере OFF2 для его соседства с роутером OFF1, обычно должно составлять 2 секунды.
Мы можем видеть настроенные значения таймера Hello и Hold для интерфейса роутера, выполнив команду show ip eigrp interfaces detail interface_id, как показано в примере ниже. Вы можете видеть в выходных данных, что интерфейс Gig 0/1 на роутере OFF2 имеет таймер Hello 5 секунд и таймер Hold 15 секунд.
Отлично, это закрепили. Теперь почитайте про пассивные интерфейсы в EIGRP.
OpenMeetings - программное средство, предназначенное для проведения видеоконференций, презентаций, а также позволяет проводить онлайн-обучение обеспечивая при этом мгновенный обмен данных.
Программа помимо основных функций имеет ряд полезных возможностей, способствующих качественному проведению мероприятий используя видеосвязь к которым относятся:
групповой и личный чат для удобного общения пользователей;
запись с экрана и звука во время проведения видеотрансляций;
возможность создавать неограниченное количество сессий для общения;
внутренний почтовый клиент для переписки и рассылок по электронной почте;
удобный и понятный календарь с функцией планирования событий;
проведение опросов и голосования среди аудитории в режиме реального времени;
пересылка необходимых документов или файлов различных форматов;
удобное и функциональное приложение для ОС Android.
Достоинством программы OpenMeetings наличие гибкой настройки интерфейса под бренд компании с размещением логотипов, собственного дизайна, а также выбрать набор необходимых инструментов для удобной работы и общения.
Требования для установки программы:
Сервер под управлением Ubuntu 18.04.
Пользователь с предоставленными правами sudo.
Минимальные системные требования:
Рекомендуемые системные требования:
CPU: 1 ГГц;
CPU: 2x/4x 2 ГГц;
Оперативная память: 1 ГБ;
Оперативная память: 4 ГБ;
Установить Java
OpenMeetings написана Java скриптах, поэтому вам для работы программы необходимо будет ее установить. По умолчанию последняя версия Java недоступна в репозитории Ubuntu 18. Поэтому вам нужно будет добавить репозиторий Java в вашу систему, выполнив следующую команду:
sudo add-apt-repository --yes ppa:webupd8team/java
Затем следует обновить репозиторий и установить Java с помощью следующей команды:
sudo apt-get install oracle-java8-installer -y
После установки Java вы можете проверить ее версию с помощью следующей команды:
java -version
java version "1.8.0_171"
Java(TM) SE Runtime Environment (build 1.8.0_171-b11
Java HotSpot(TM) 64-Bit Server VM (build 25.171-b11, mixed mode)
Следующим этапом Вам необходимо установить некоторые компоненты для вашей системы с помощью выполнения следующей команды:
sudo apt-get install install imagemagick ghostscript libxt6 libxrender1 ffmpeg sox -y
Далее вам необходимо установить MariaDB Server для хранения данных в вашей системе, выполнив следующую команду:
sudo apt-get install mariadb-server -y
После установки MariaDB необходимо войти в оболочку MariaDB:
mysql -u root -p
Введите пароль пользователя root и нажмите Enter, затем создайте базу данных и пользователя с помощью следующей команды:
MariaDB [(none)]> CREATE DATABASE openmeetings;
MariaDB [(none)]> CREATE USER openmeetings;
Затем предоставьте права доступа к базе данных OpenMeetings с помощью следующей команды:
MariaDB [(none)]> GRANT ALL PRIVILEGES ON openmeetings.* TO 'openmeetings'@'localhost' IDENTIFIED BY 'password';
Затем необходимо выполнить команду FLUSH PRIVILEGES, чтобы таблица привилегий была перезагружена MySQL, и мы могли использовать новые учетные данные:
MariaDB [(none)]> FLUSH PRIVILEGES;
Затем выйдите из консоли MariaDB с помощью следующей команды:
MariaDB [(none)]> q
Установка OpenMeetings
Вы можете загрузить последнюю версию OpenMeetings со страницы загрузки, перейдя в браузере по следующей ссылке:
wget http://www-eu.apache.org/dist/openmeetings/4.0.4/bin/apache-openmeetings-4.0.4.tar.gz
После завершения загрузки извлеките загруженный файл с помощью следующей команды:
sudo tar xvf apache-openmeetings-4.0.4.tar.gz -C /opt/openmeetings
Затем запустите приложение с помощью следующей команды:
cd /opt/openmeetings
sudo sh red5.sh openmeetings
Доступ к веб-интерфейсу OpenMeetings
Откройте веб-браузер и введите URL-адрес http://your-server-ip:5080/openmeetings. Вы будете перенаправлены на следующую страницу:
Здесь нажмите на кнопку >. Вы должны увидеть следующую страницу:
Выберите тип базы данных и укажите имя базы данных, затем нажмите кнопку >. Вы должны увидеть следующую страницу:
Введите имя пользователя, пароль и адрес электронной почты, затем нажмите кнопку >. Вы должны увидеть следующую страницу:
Теперь предоставьте данные SMTP, затем нажмите кнопку >. Вы должны увидеть следующую страницу:
Укажите ImageMagick, sox и путь FFmpeg, затем нажмите кнопку >. Вы должны увидеть следующую страницу:
Выберите значение по умолчанию и нажмите кнопку >. Вы должны увидеть следующую страницу:
Теперь нажмите на кнопку "Enter the Application". Вы должны увидеть следующую страницу:
Введите свои учетные данные, затем нажмите кнопку "Sign In". Вы должны увидеть следующую страницу:
В заключении следует отметить, что проведение видеоконференций с помощью программы OpenMeetings оправдывает себя за счет простого управления программой и хорошего набора удобных функций необходимых для качественного общения по видеосвязи.