СООБЩЕНИЯ ОБ ОШИБКАХ
ШУТКА: БЕРЕГИТЕСЬ ВИРУСА
ВОПРОС О СТАНДАРТАХ: ОБНОВЛЕНИЕ IPSEC
AUTOLOG 95

IPSEC RFC


СООБЩЕНИЯ ОБ ОШИБКАХ

Комментарий редактора. Начиная с этого выпуска LAN будет сообщать о заслуживающих внимания сетевых ошибках. Более подробную информацию можно найти на узле BugNet по адресу: www.bugnet.com.


Microsoft Client Services for NetWare (CSNW)

Клиент с Microsoft CSNW может столкнуться с проблемами при соединении со своим сервером. При этом он получает в ответ сообщение об ошибке: "NetWare Autenthification Failure". По словам представителей Microsoft, это может произойти либо когда клиент CSNW создает новый принтер или печатает что-то на существующем принтере во время сеанса регистрации, либо когда клиент CSNW вышел из сети, а затем пытается войти в сеть под тем же именем без перезапуска рабочей станции. В последнем случае возникает ошибка, поскольку предыдущее соединение с сервером не было закрыто.

Компания предлагает пользователям Windows NT 4.0 обойти этот момент следующим образом. При создании нового принтера, вместо того чтобы выходить из сети, остановите и перезапустите рабочую станцию в конце дня. Кроме того, отключите все события блока подкачки печати.

Если вы работаете с Windows NT 3.51, то нужно выполнить тот же первый шаг. Но для того, чтобы отключить все события блока подкачки печати, вы должны использовать Registry Editor. Найдите запись KEY_LOCAL_MACHINESystemCurrentControlSetControlPrintProviders и добавьте значение:

EventLog = REG_DWORD 0x00000000.



Microsoft Systems Management (MSM) Server 1.2

Если вы используете Remote Control Agent WUSER.EXE в MSM Server 1.2 в сочетании с сетевыми платами 3C590 или 3C905 компании 3Com, которые могут быть конфигурированы в качестве главного устройства шины PCI, сервер может столкнуться с "утечкой" памяти. В результате значительная часть страниц файла подкачки окажется потеряна, что в конечном итоге приведет к ошибкам в виртуальной памяти или к блокировке системы. В случае платы 3C590 представители Microsoft предлагают отключить конфигурацию в качестве главного устройства шины PCI. Если вам необходима более подробная информация о том, как это сделать, то обращайтесь по адресу: www.microsoft.com/kb/articles/q141/2/99.htm.

В случае платы 3C905 положение безвыходное, поскольку возможности отключить конфигурацию в качестве главного устройства на этой плате нет. Вы можете только блокировать службу SMS Remote Control на клиентах Windows NT или купить другую сетевую плату.


ШУТКА: БЕРЕГИТЕСЬ ВИРУСА

Комментарий редактора. За две недели такое предупреждение я получил дважды. На самом деле это обман. Так что если вы еще не получили ничего подобного, я готов предложить присланный текст вашему вниманию. (Текст дается в переводе с английского.)


Пожалуйста, ПРОЧИТАЙТЕ это ПРЕДУПРЕЖДЕНИЕ О ВИРУСЕ и передайте его всем своим знакомым.

ПРЕДУПРЕЖДЕНИЕ!!!!!! Если вы получили по электронной почте сообщение, озаглавленное "JOIN THE CREW", НЕ ОТКРЫВАЙТЕ его! Оно удалит ВСЮ информацию с вашего жесткого диска! Предупредите всех, кого можете... Это новый вирус и мало кто о нем знает!

Данная информация получена сегодня утром из IBM. Пожалуйста, сообщите об этом всем, кто работает в Internet.

Кроме того, если кто-то получает сообщение, озаглавленное "PENPAL GREETINGS!", удалите его не читая! Это предупреждение касается всех пользователей Internet - опасный вирус распространяется по Internet через сообщение электронной почты, имеющее название "PENPAL GREETINGS!".

НЕ ЗАГРУЖАЙТЕ НИКАКИХ СООБЩЕНИЙ, ОЗАГЛАВЛЕННЫХ "PENPAL GREETINGS!"!

Это сообщение на первый взгляд - просто дружественное письмо, предлагающее вести переписку по электронной почте, но, когда вы прочитаете его, будет уже слишком поздно. Вирус типа Троянский конь заразит сектор начальной загрузки вашего жесткого диска и разрушит все данные, размещенные на нем. Этот вирус тиражирует сам себя, и, как только сообщение прочитано, он АВТОМАТИЧЕСКИ разошлет свои копии по всем адресам электронной почты, которые указаны в вашем почтовом ящике!

Вирус РАЗРУШИТ ваш жесткий диск и жесткий диск каждого, кто прислал вам письмо, а также всех, чей адрес записан в почтовом ящике следующего получателя, и т. д. Если вирус будет распространяться, то он может нанести страшный ВРЕД компьютерным сетям всего мира.

Пожалуйста, удалите сообщение, озаглавленное "PENPAL GREETINGS!", сразу, как только вы его увидите! Передайте эту информацию всем своим друзьям, родственникам и другим читателям групп новостей и списков рассылки, на которые вы подписаны. В противном случае они могут пострадать от этого вируса!!!

Пожалуйста, предупредите всех, кого вы знаете, чтобы остановить распространение этого вируса. ПЕРЕДАЙТЕ ЭТО СВОИМ ДРУЗЬЯМ!!! ПРЕДУПРЕЖДЕНИЕ!!! Новый вирус, который распространяется по сети в последние несколько дней!!! НЕ ОТКРЫВАЙТЕ и даже не смотрите на любое сообщение электронной почты, помеченное как "Returned or Unable to Deliver". Этот вирус будет сам присоединяться к вашим компьютерным компонентам и выводить их из строя. Немедленно удалите любое почтовое сообщение с такой пометкой.

Сеть AOL сообщила, что новый вирус очень опасен и пока НЕТ никакого средства для его лечения. ПОЖАЛУЙСТА, БУДЬТЕ ВНИМАТЕЛЬНЫ!!!

Передайте это сообщение как можно скорее всем, кого вы знаете!!!


ВОПРОС О СТАНДАРТАХ: ОБНОВЛЕНИЕ IPSEC

По мере того как компаниям становится все труднее оправдывать стоимость арендованных линий, необходимых для взаимодействия с удаленными узлами и деловыми партнерами, они (компании) все чаще и чаще начинают прибегать к услугам таких общедоступных сетей, как Internet, для обмена данными с людьми, работающими за пределами компании. Но когда компании начинают создавать виртуальные частные сети для пересылки не предназначенной для всеобщего внимания информации по общедоступной сети, администраторы сети должны быть особенно осторожны.

Безусловно, Internet - не самое безопасное средство передачи важной корпоративной информации. Однако последние два года IETF IP Security Protocol Working Group активно работала над стандартами, позволяющими защитить передаваемую таким образом информацию от несанкционированного доступа.

IP Security (IPSec) - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 5 RFC (см. врезку "IPSec RFC").

По сути IPSec, который станет составной частью IPv6, работает на третьем уровне, т. е. на сетевом уровне. В результате передаваемые IP-пакеты будут защищены прозрачным для сетевых приложений и инфраструктуры образом. В отличие от SSL (Secure Socket Layer), который работает на четвертом (т. е. транспортном) уровне и теснее связан с более высокими уровнями модели OSI, IPSec призван обеспечить низкоуровневую защиту.

К IP-данным, готовым к передаче по виртуальной частной сети, IPSec добавляет заголовок для идентификации защищенных пакетов. Перед передачей по Internet эти пакеты инкапсулируются в другие IP-пакеты. IPSec поддерживает несколько типов шифрования, в том числе Data Encryption Standard (DES) и Message Digest 5 (MD5).

Чтобы установить защищенное соединение, оба участника сеанса должны иметь возможность быстро согласовать параметры защиты, такие как алгоритмы аутентификации и ключи. IPSec поддерживает два типа схем управления ключами, с помощью которых участники могут согласовать параметры сеанса. Эта двойная поддержка вызвала определенные трения в IETF Working Group.

С текущей версией IP, IPv4, могут быть использованы или Internet Secure Association Key Management Protocol (ISAKMP), или Simple Key Management for Internet Protocol. С новой версией IP, IPv6, вам придется использовать ISAKMP, известный сейчас как ISAKMP/Oakley. К сожалению, две вышеописанные схемы управления ключами во многом несовместимы, а значит, до тех пор, пока не появится IPv6, гарантировать интероперабельность из конца в конец вряд ли возможно.

На выставке NetWorld+Interop, которая состоялась в мае 1997 года в Лас-Вегасе, несколько ведущих производителей систем защиты, в том числе Checkpoint Software, Cisco Systems, Entrust Technologies, Raptor и Trusted Information Systems, с успехом продемонстрировали интероперабельность своих продуктов на основе IPSec. И хотя многие продукты, такие как брандмауэры, получат возможность благодаря IPSec взаимодействовать друг с другом, настройка передачи может оказаться достаточно сложной, по крайней мере до тех пор, пока IETF не утвердит спецификации на IPSec в качестве стандарта.

IETF IP Security Protocol Working Group не торопясь готовит IPSec, и, по всем признакам, набор протоколов должен быть формально принят в начале 1998 года.

- Анита Карве

AUTOLOG 95

В одном из прошлых выпусков утверждалось, что, добавив некоторые ключи в базу данных Registry, рабочую станцию с Windows 95 можно настроить таким образом, чтобы она автоматически входила в сеть Novell или Windows NT.

Если просто добавить указанные ключи в Windows 95 Registry, станция автоматически в сеть входить не будет. Windows 95 Microsoft Client for Microsoft Networks не поддерживает подключи Registry для AutoAdmin Login или DefaultPassword. Насколько мне известно, единственное, что может заставить рабочую станцию с Windows 95 автоматически регистрироваться в сети Novell или Windows NT, когда используется Microsoft Client, - это TweakUI.

TweakUI действительно инсталлирует сам себя как службу Windows 95 и добавляет необходимые ключи к Registry. Во время начальной загрузки служба TweakUI загружается перед сетевыми клиентами. Если AutoAdminLogon не нуль, то служба TweakUI опрашивает систему до тех пор, пока не появляется диалоговое окно для входа в сеть. Затем TweakUI читает значения DefaultUserName и DefaultPassword из базы данных Registry, добавляет их в диалоговое окно для входа в сеть и нажимает OK.

Когда TweakUI инсталлирует себя как службу, в Registry можно увидеть следующую запись:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices
"Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakLogon"

У службы TweakLogon очень небольшой тайм-аут. Если перед регистрацией системы появляются какие-либо экраны или если существуют иные установленные службы (такие, например, как проверка на наличие вируса), тайм-аут TweakLogon истекает зачастую до ввода информации для входа в систему.

Теперь мы можем понять, почему Microsoft не поддерживает конфигурации, использующие TweakUI.


Ден Макэлиней, специалист по микрокомпьютерам, Elgin Community College dmcelhiney@elgin.cc.il.us

IPSEC RFC

RFC 1825
IP Security Architecture

RFC 1826
IP Autentication Header

RFC 1827
IP Encapsulating Security Payload (ESP)

RFC 1828
IP Autentication using Keyed MD5

RFC 1829
ESP DES-Chpher Block Chaining Transform

Более подробную информацию по IPSec можно найти на Web-узле IETF по адресу: www.letf.org/html.charters/ipsec-charter.html.