úterý 30. dubna 2013

MS Windows Server 2012 CORE - podporované serverové role

Jako jsou podporované serverové role v MS Windows Serveru 2012 ?

pondělí 29. dubna 2013

MS Windows Server 2012 Hyper-V - virtuální firewall

Pro některé čtenáře bude možná překvapením, že nedílnou součástí MS Windows 2012 Server HYPER-V je také virtuální firewall, kterým lze nastavovat ACL pro virtuální počítače (tady zakazovat či povolovat síťový provoz).

ACL = Access Control List = přístupové seznamy

V případě podání firmy Microsoft se jedná o základní funkcionalitu.
ACL lze nastavovat pouze na TCP/IP adresy.

Pravidlo může být aplikováno na HYPER-V switch portu.

Funkcionalita je však omezena pouze na:

  • povolení ... zákaz
  • směr provozu
  • TCP/IP adresu (síť ... subnet)
Vše se provádí pouze a jen v PowerShellu.
Grafické rozhraní není k dispozici.

čtvrtek 25. dubna 2013

Aktualizace vypnutých virtuálních počítačů


Aktualizace vypnutých virtuálních počítačů, šablon a virtuálních disků se dá provádět pomocí nástroje
Virtual Machine Servicing Tool 2012.

středa 24. dubna 2013

Vytváření virtuálních počítačů ze šablony

Každý kdo provozuje virtualizaci (nejlépe MS HYPER-V) dříve či později narazí na problém rychlého nasazení virtuálního počítače.
Stále opakovaná instalace je nudná a neefektivní ... takže jak na klonování virtuálního počítače?

Ve větších sítích je doporučeno nasazení Microsoft SYSTEM CENTER 2012, konkrétně System Center Virtual Machine Manager 2012 (SCVMM 2012).

V případě, že tento produkt nemáte nasazen, může se Vám hodit následující postup:

pondělí 22. dubna 2013

Verze MS Windows

Narazil jsem na kotouček, kde bylo uvedeno jakési číslo, místo obchodního názvu.
Tak jsem si poznamenal krátkou tabulečku ... co které číslo znamená.

pátek 19. dubna 2013

HYPER-V přístupová práva

V rámci MS Windows Server 2012 mám instalovanou roli HYPER-V server.
A v něm několik desítek virtuálních počítačů.
Vypnutých.

A potřebuji nastavit práva tak, aby si někteří uživatelé mohli sami vybrané virtuální počítače zapnout.

středa 17. dubna 2013

Často použivané .msc

Musím si zde poznamenat msc  snap-in soubory, které se dají spustit z příkazové řádky.
Níže uvedené je funkční v MS Windows 2008 a 2012.

pondělí 15. dubna 2013

Cisco switch a Port Security


Mám na firmě několik switchů CISCO 2960S.
A občas potřebuji v některé lokalitě omezit připojení zařízení s neznámou MAC adresou.
K tomuto slouží funkce Port Security (omezuje tedy připojení zařízení s neznámou MAC adresou).

Jak pracuje Port Security?:
Port Security omezuje připojení zařízení s neznámou MAC adresou.
Tato funkce vytváří v přepínači tabulku, která obsahuje:
  • MAC adresu připojené stanice
  • číslo fyzického portu, na který je stanice připojena
  • typ záznamu (statický nebo dynamický)
  • dobu vypršení záznamu. 
Tabulka je vytvořena z odposlechu paketů, které procházejí daným portem, nebo můžeme zadat adresy dynamicky.
Ke každému portu je také možné nastavit maximální možná počet MAC adres, které můžou být připojeny na port.
Port security se povoluje na každém portu (a na každém switchi) zvlášť.
Pokud dojde na portu k narušení bezpečnosti („security violation“), podle nastavení dojde k nastavené události:
  • k vypnutí portu
  • zahození rámce 
  •  ... apod.
Situace, kdy nastane porušení bezpečnosti:
  • Bylo dosaženo maximálního počtu MAC adresu na portu a zařízení, jehož adresa není v tabulce, se snaží komunikovat na interface
  • MAC adresa, která v tabulce přísluší jistému portu, se objeví na jiném portu stejné VLAN.

pátek 12. dubna 2013

DHCP snooping a CISCO Catalyst 2960


Úvod:
Mám na firmě několik přepínačů (switchů) Cisco Catalyst C2960S.
A čas od času se stávalo, že někdo z uživatelů (ne záměrně, spíše omylem) zapnul jakýsi routříček, který měl po resetu do továrního nastavení zapnut DHCP server.
A nabízel jakési nesmyslné IP adresy ze svého rozsahu ostatním zařízením (počítačům, DHCP klientům).
Uživatelé se následně ozývali, že jim nic nefunguje.
Takže co s tím ?

Řešení:
Na Cisco switchích (přepínačích), existuje funkcionalita DHCP snooping, pomocí které lze zakázat neutorizovanému DHCP server rozdávání IP adres (kdesi na Internetu jsem vyčenichal, že DHCP snooping v CISCO switchích existuje až od určité verze).

Co je DHCP snooping ?
DHCP snooping je obrannou proti útoku DHCP spoofing.
Princip spočívá v tom, že porty na přepínači (na switchi) rozdělíte na „trusted“ a „untrusted“.
Pokud je na portu připojen počítač, pak port označíte jako untrusted.

Jak to funguje ?
Zapnuli jsem DHCP Snooping na přepínači (switchi).
Útočník následně zapne DHCP server.
Když jakékoliv zařízení (počítač, klient DHCP) požádá o IP adresu, tak útočníkův DHCP server sice odpoví, ale jakmile dorazí odpověď na switch, switch zkontroluje, zda je poslána z trusted portu, a podle toho ji zahodí či propustí. 
V našem případě ale bude odpověď zahozena, protože útočník je na obyčejném počítači, který je připojen k untrusted portu. 
Tímto se spolehlivě zabrání DHCP Spoofingu.

čtvrtek 11. dubna 2013

Síťové útoky na LAN

Na lokální síti (LAN) se lze setkat s několika typy útoky.
Na menších sítích (čítajících desítky - stovky pracovníků), kde se uživatelé i navzájem znají se spíše jedná o špatnou konfiguraci či neúmyslné jednání.
Na větších sítí se však může jednat i o úmyslné - záměrné jednání.

Jaké možné síťové útoky se mohou vyskytnout na LAN?

pondělí 1. dubna 2013

Kolik programátorů je třeba v bojovém vesmírném křižníku?

Přemýšleli jste někdy o tom, kolik programátorů je potřeba pro obsluhu vesmírné bojové lodi? 

Pokud ne, je teď správná chvíle to napravit. 
A pokud netušíte, proč byste nad tím měli přemýšlet, tak je správná chvíle přemýšlet, proč byste vůbec měli přemýšlet, protože tahle otázka je nadmíru aktuální. 

Vysvětlím proč.