Служба Рассылок Городского Кота

Добрый день (вечер, ночь) уважаемые подписчики!
Вот и подошел черед третьего выпуска рассылки. На сегодняшний момент
количество подписавшихся   9055!
Итак, сегодня в номере (как видите рассылка приобретает вид  газеты  :-)
посвященной сетевым технологиям):
1) Сети ИОЛА (4-х летний опыт работы, выводы и рекомендации) (тема номера)
2) Голосование подписчиков
3) Вопросы от профессионалов и для них же.
4) Новости с багтрека.

===========================
Сегодняшняя тема номера - это сети ИОЛА. После того, как я во втором
выпуске рассылке опубликовал свои намерения рассказать об этой технологии,
мне пришло много писем, из них только одно оказалось против. (В основном
все "за", т.к. эта технология и по сей день остается актуальной). Развитие
темы сетей ИОЛА приветствуется, так что если у Вас, дорогие читатели, есть
что добавить - добро пожаловать по моему адресу moiseencov@kaluga.ru
Автор статьи: Богаев Илья. Огромное ему спасибо за присланную информацию от
всех нас!

           4 года работы с сетью "Иола"
          (С середины 90-х до сего дня)
               Выводы и рекомендации

Сети "Иола" производства одноименной фирмы, расположенной в подмосковном
Обнинске,  в середине 90-х годов пользовалась заслуженной популярностью
среди российских пользователей. Они были в несколько раз дешевле Ethernet -
решений, использовали обычный 75-омный коаксиальный кабель
(телевизионный), имели гальваническую развязку с линией, работали на
большие расстояния (до 1000м на кабеле РК75-4).  Не буду останавливаться
подробно на технических характеристика этой сети - они подробно изложены на
сайте производителя (www.iola.ru). Поверьте, что они впечатляют.
Данный материал описывает мой опыт общения с этой сетью в период с 96-ого
года, на примере инсталляции в Главном Вычислительном Центре Гражданской
авиации (ГВЦ ГА), где я работал до начала 2000-ого года. Когда при
развертывании в ГВЦ ГА локальной сети принималось решение о том на каком
оборудовании создавать локальную сеть, особых споров не возникло - в то
время "Иола" уже завоевала заслуженную репутацию очень удачного решения,
количество инсталляций  этой сети росло, ее называли "русский Ethernet"
и
пророчили ей большое будущее. К тому же одно из требований было обеспечить
скоростную связь со зданием аэровокзала (примерно 500 метров от здания
ГВЦ).  До сих пор не дешевая оптика в то время была просто невероятно
дорога. Итак, решение принято.
Развертывание прошло очень гладко. Связисты тянули знакомый кабель (тонкий
РК75-2 по зданию и толстый РК75-4 между зданиями). Заделка концов
производилась на многоразовые оконечники с помощью пайки, что для любого
радиомонтажника было вполне привычной процедурой.  Программное обеспечение
под DOS (о Windows тогда еще никто всерьез не думал) работало очень быстро
и занимала в памяти минимум места (не более 50К для серверного варианта и
около 30 для клиента). Функция "захвата управления", когда можно было
получить на своем мониторе копию экрана удаленного компьютера, а так же
получить контроль за его клавиатурой, вызывала восторг. Удивительно, но
факт - передача данных по 10 мегабитной сети "Иола" шла даже немного
быстрее чем по 10 мегабитному Ethernet'у. Lantastic демонстрировал примерно
10%-ое отставание при том, что занимал памяти чуть ли не в два раза
дольше, результаты Windows были еще более удручающие.
Что самое интересно, "Иола" комплектовалась электронной документацией,
один
из томов которых был посвящен исключительно программированию под эту сеть.
Фантастика, да и только! Лучшего и не придумаешь.
Однако, в мире не бывает совершенных продуктов. Не совершенна и "Иола".
Я
не буду описывать ее огрехи с точки зрения программиста (хоть и немного
занимался этим вопросом), ибо читателя наверняка больше интересует
практический опыта эксплуатации, то бишь точка зрения администратора. Что
ж, извольте, начинаю.
Во-первых, кошмаром и бичом администратора любой сети "Иола", которая
превысила размеры одной комнаты, являются, так называемые, "висячие концы".
Поясню. Разрыв шины в Ethernet и кабеля в 10Base-2(5) приводит к
неработоспособности всей сети. Это привычная картина, и одна из причин за
что я ненавижу "коаксиал" всеми фибрами души. Но что должно просто убивать
на повал любого сетевого администратора, так это известие, что отключение
от сети "Иола" любой станции приводит к аналогичным последствиям.  Сетевая
топология "Иолы" "разветвленная звезда" вобрала в себя самые
худшие черты
как коаксиального Ethernet, так и "витопарного". От первого она взяла
проблему "висячего конца", от второго наличие хабов и как следствие
перерасход кабеля. Но случае 10Base-T мы соглашаемся на топологию "звезда"
даже там, где она экономически неоправданна (например, соединяем компьютеры
в одной комнате, стоящие вдоль стен), но взамен получаем "свернутую" в
хабе шину, которую уже нельзя порвать, отсоединив терминатор, или разомкнув
кабель, а в перспективе 100 мегабит и полный дуплекс. "Иола" же,
построенная на аналогичной топологии, не дает нам взамен ровным счетом
ничего. Дело в том, что "хабы" в "Иоле" - это не хабы в привычном
нам
значении этого слова. Это просто разветвители кабеля, очень правильно их
сравнивать с телевизионными антенными разветвителями. Шина не замыкается в
иольском хабе - она выходит наружу вместе с кабелем, который на каждом (!)
своем конце требует обязательно наличие нагрузки. Единственное исключение -
свободное гнездо на активном хабе, аналогичное гнездо на хабе пассивном
должно быть обязательно затерминированно. Как следствие бег с терминаторами
в руках становится любимым спортом сетевого администратора. Более того,
простого пути затерминировать "висячий конец" в "Иоле" просто
не
существует. Дело в том, что конструкторы предусмотрели терминатор с
разъемом "под гнездо", то есть на хаб, но с терминатора с разъемом "под
вилку" просто нет.  То есть администратор, отсоединив иольский кабель от
компьютера, должен моментально терминировать его... но нечем! Решение
приходит в процессе эксплуатации - администратор носит с собой либо
пассивный хаб на четыре выхода с тремя затерминированными гнездами, либо
просто сетевую плату "Иола". Как вам терминатор стоимостью в хаб или
сетевую плату?
Во-вторых, "Иола" требует обязательную уникальность сетевых имен
(идентификаторов). Это нормально и так обстоит дело во многих сетях, но
если в Ethernet уникальный номер карты зашит "при рождении", то в "Иоле"
это отдано на откуп пользователю. К чему может это привести рассказывать не
стоит. Причем, глюки бывают порой весьма загадочны.
В-третьих, хотя в "Иоле" существует обеспечение доступа как на уровне
ресурсов, так и на уровне пользователя, но разбиение на подсети, рабочие
группы, производится на уровне профилей пользователя, то есть ни о какой
реальной защите данных (сродни VLAN) речи все же не идет. Любой
пользователь, изменив свой профиль, может перевести себя в любую подсеть
без всякой авторизации. Простая загрузка с дискеты с другим профилем
разрушает всю защиту.
В-четвертых, конструктив плат, мягко говоря, не совсем удачен. Дело в том,
что изменение основных параметров сетевой платы, таких как IRQ и адреса
ввода-вывода производятся через перемычки на плате, но сами эти перемычки
находятся внизу платы, то есть что бы поменять значение, плату приходится в
любом случае вынимать. А с учетом того факта, что примерно каждая третья
плата не лезет в слот без предварительной обработки напильником, занятие
это становится еще менее привлекательным. Кстати, для адресов ввода-вывода
существует всего два диапазона: "нижний" и "верхний". В нижнем
"Иола" 100%
конфликтует с ISA вариантом NE2000 (зависание при загрузке драйверов). Что
делать если она и в верхнем диапазоне уткнется во что-то инородное? Даже и
не спрашиваете. Не знаю. К счастью, у нас такого не было. Кстати,
интересной особенностью "Иолы" является то, что даже без загруженных
драйверов она у меня умудрялась конфликтовать с SoundBlaster'ом. Очевидно,
без всякой инициализации со стороны драйверов, она по приходе любого
сетевого пакета дергала прерывание (которое задается джампером аппаратно),
и бедный Blaster умолкал, сыграв пол-ноты. То есть, оптимальный вариант
отключить сеть - это физически удалить плату. Конечно, все эти конфликты,
это не сколько от "Иолы", сколько от ISA. Вообще, ISA конструктив может
сыграть с "Иолой" достаточно злую шутку, а именно забрать ее с собой в
собственную могилу. PCI-вариантов самой популярной модификации "Иола-10"
нет и по всей видимости не будет. С учетом того, что в новых компьютерах
самой популярной формулой становится 1 ISA + 6 PCI, да к тому же выпускают
материнские платы вообще без ISA слотов. На плате с одним ISA слотом мост
"Иола-10" уже не соберешь. К тому же, куда девать мой любимый SoundBlaster?
Приходится быть внимательным при покупке.
В-пятых, софт. Жестокая правда жизни, состоит в том что ПО "Иола"
разработано только под DOS и Windows 95 (даже на Windows 95 OSR2 встает
только после подпиливания напильником с десятка байт в одном из драйверов).
Тут видно опять требуется внести ясность. Следует различать драйвера
"Иола" и программное обеспечение сети "Иола". Если с первыми
все не так
плохо (есть под NT и даже под Linux), то сеть "Иола" со всеми ее
замечательными функциями типа "перехват управления" и прочее, полноценно
существует только под DOS и Windows 95. Все это приводит к тому, что если
Windows еще может обходится собственной сетевой поддержкой, то DOS машины в
случае отказа от ПО "Иола" из сети выпадают вовсе или на них приходится
ставить клиентов Windows или Netware, которые работают с платой "Иола",
через ее драйвер, что помимо фирменного интерфейса умеет эмулировать ODI и
NDIS. Разумеется, в данном случае о разделении ресурсов DOS - машин
приходится забыть.
В-шестых цены. Да-да, "Иола", которая начиналась, как недорогая
альтернатива Ethernet, нынче стоит в несколько раз дороже. Судите сами,
сетевой адаптер "Иола-10" обойдется Вам в $25 (Ethernet в $12),
четырехпортовый активный хаб - $50 (пятипортовый Ethernet - около $30),
разъем - $1 за штуку (RJ-45 от $0.3), комплект ПО "Иола" стоит $200(!).
Только кабель обойдется немного дешевле - $0.2 за метр (против $0.3 за метр
витой пары).
Прочитав все это, уместно спросить: "А нужна ли нам это Иола вообще?".
Ответ не так очевиден как кажется. Да, без всякого сомнения, инсталляция
сети "Иола" в офисе в настоящее время будет решением, далеким от
оптимального. Кажется есть ниша, в которой "Иола" чувствует себя очень
уверенно - это соединения сетей на дистанциях от 200-от метров, до
километра, то есть там, где классический медный Ethernet не может
предложить почти ничего, кроме разве что умершего 10Base-5. Соединения двух
сетей, расположенных на расстоянии километра друг от друга по технологии
"Иола" обойдется в $450 ($400 на кабель и $50 на сетевые карты) + две
машины под Linux или NT в качестве роутеров. Один оптический кабель
обойдется дороже. Но с другой стороны оптика даст и 100 и 1000 мегабит.
"Иола" - только 10, и больше не будет, так как 25-и мегабитная  модификация
"Иолы" - "Иола-25" на такие дистанции уже не работает. Под оптический
кабель реально купить модули для коммутатора, под "Иолу" мы в любом случае
вынуждены выделять целый компьютер, хотя в случае Linux реально обойтись
старенькой 486-ой. Однако повторюсь, что в свете стремительно удешевления
оптических решений и нашествия 100 мегабитных, а в скором будущем
гигабитных сетей, "Иола" выглядит все менее и менее привлекательной.
Так все же "за здравие" или "за упокой"? Наверное ни за то, ни
за другое.
Если цена оборудования для создания оптического канала упадет до $500 за
километр, до "Иоле" - крышка, в противном случае - шансы выжить в нише
решений для межсетевого обмена у нее есть, особенно, если Обнинск
сподобится и выпустит PCI-версию "Иола-10".
09 апреля 2000г.
=====================
2) ГОЛОСОВАНИЕ.
Дорогие читатели! От одного из подписчиков поступило предложение
организовать в этой рассылке раздел по Windows NT. Учитывая, что NT всегда
была сетевой ОС и в общем-то эта тема неразрывно связана с сетевыми
технологиями, на данный момент я не отказался. Для того, чтобы выразить
свое мнение относительно целесообразности этого раздела Вам необходимо
выслать письмо по моему адресу - moiseencov@kaluga.ru
Все ответы будут
обработаны, и исходя из них будет принято решение.
Ведущий раздела - Alex The Hacker. Пока смею Вам предложить на суд лишь
малую часть, чтобы Вы уже смогли примерно представить что это будет.

Системный реестр Windows NT.

ВНИМАНИЕ! Перед работой с системным реестром не забудьте сделать его копию!
Это обезопасит Вас и Ваш компьютер от возможных неаккуратных действий.

NTFS: чуть-чуть быстрее...
Как известно, при просмотре каталогов на NTFS - разделах для всех файлов
каталога происходить обновление атрибута времени последнего доступа (Last
Access), что несколько замедляет работу. При желании можно отключить эту
функцию.
Добавьте в раздел реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
переменную NtfsDisableLastAccessUpdate (DWORD) = 00000001.

Скрытие View -> Options в Windows NT Explorer
Начиная с SP4 у вас есть возможность скрыть от пользователей пункт Options
меню View в Windows NT Explorer'е. Это поможет вам уменьшить вероятность:
- несанкционированного доступа к скрытым и системным файлам;
- изменения привязки расширений файлов к тем или иным приложениям и
параметров этой привязки. Для этого необходимо в раздел реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавить переменную NoOptions (REG_DWORD) и присвоить ей значение 1.
Изменения вступят в силу после перезагрузки.

Выборочное скрытие дисков
Иногда бывает необходимо скрыть от пользователя один или несколько
локальных дисков компьютера. Для этого в раздел реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавляется переменная NoDrives (REG_DWORD). Десятичное (Decimal) значение
этой переменной определяет, какой именно диск будет скрыт:
A: - 1; B: - 2; C: - 4; D: - 8; E: - 16 и т.д.
При необходимости скрыть несколько дисков соответствующие им числа
складывают. Например, если необходимо скрыть диски A: и E: переменной надо
присвоить значение 17 (1+16).
После перезагрузки указанные диски не будут видны ни в My Computer, ни в
Explorer'е, ни в диалоговых окнах Open и Save As. Однако, эти ограничения
не распространяются на File Manager и командную строку.

Настройка принт-сервера
My Computer -> Printers. Если теперь щелкнуть правой кнопкой мыши на любом
СВОБОДНОМ месте появившегося окна, а затем в контекстном меню выбрать
Server Properties, то вы сможете:
создавать новые формы для печати;
добавлять, удалять, конфигурировать порты;
задавать местоположение файлов спулера печати;
управлять записью событий в log-файлы;
Использование данного метода много проще, чем прямое редактирование
реестра, рекомендованное Microsoft, например, для смены местоположения
спулера.
Быстрый доступ к папке Printers
Можно сделать так, чтобы эта папочка появилась в меню Start. Для этого в
каталоге %winntroot%\Profiles\<user>\Start Menu создайте новую папку с
именем Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}. Затем выйдите из
системы и войдите снова.

==============
3) Вопросы для профессионалов.
Мне в почтовый ящик пришло довольно много писем с вопросами относительно
построения, проектирования и настройки локальных. К сожалению, все их я
опубликовать не могу. Это будет делаться небольшими порциями. Если Вы
знаете ответ на представленный вопрос - присылайте ответ, он будет
опубликована в рассылке! (только не забудьте в письме процитировать сам
вопрос!!!).
Итак сами вопросы:

Вопрос 1:
Есть сервер nt4. Три карты. две коаксиал, одна витая пара на switch
baystack 450 12T. От свича пара к серверу netware 4.10, который
используется исключительно как роутер (или мост). От него идут 6
коаксиалов. А проблема такая: Если на nt установить SP3 (или SP5, другие не
пробовал), то те, кто находится на коаксиале NT, не видят остальных. До
этого все нормально. И после удаления SP не восстанавливается, т.е. чтобы
все заработало надо переинсталлить.
Два протокола IPX и TCP в сети:
на NT IPX тип фрейма 802,3, TCP - ?
на Novell IPX - 802.3; TCP - Ethernet II
р/ст W95/98 IPX 802.3, на некоторых IP
Сейчас я точно не помню, какие протоколы и как гонят до и после SP.
Win2000server ведет себя тоже плохо. Мне интересно что же (и кто Novell,
Bay или Microsoft) накрутили с фреймами (мне кажется что в этом проблемы)
Еще к свичу подключены IBM RS6000 (AIX), Silicon (IRIX), Sun (SunOS,
Solaris)
Кажется с них по IP связь есть со всеми W9x, независимо от SP.
Вот такая интересная заковыка. Еще скоро поставят какой-то Macintosh.
Интересно какие будут проблемы при объединении всего этого "сокровища"?

Вопрос 2:
Можно ли объединить в одноранговую сеть компьютеры с Windows 3.11/10
и Windows 95/98? (желателен развернутый ответ)

Вопрос 3:
В одноранговой сети под Win 98 пользователи делят принтер. Те пользователи
к машине которых подключен этот принтер сильно возмущаются что часто
появляются окошко "Повтор"  "Отмена". Когда другие не успевают
вставить
лист в принтер и в других случаях окошко появляется тоже. Я всячески
боролся с этим окошком. Ничего не помогло. Пришлось стать дипломатом.
Вот что я делал:
1.Устанавливал   "Интервалы ожидания"  в свойствах принтера.
2. В autoexec.bat вставлял команду mode lpt1: ,,R - бесконечный опрос
принтера.
На очень короткое время это помогало , а потом опять Win упрямо возвращал
на старт.
Надеюсь на помощь. Может и другие сталкивались с такой проблемой.
==========
4) Новости с багтрека.
За последние две недели было выявлено огромное количество багов, причем
некоторые из них, просто поражают (см. баг от Микрософт). На сегодня
предлагаю Вам подборку наиболее опасных (на мой субъективный взгляд).
а) Баг от M$
ISAPI-приложение /_vti_bin/_vti_aut/dvwssr.dll устанавливаемое вместе с IIS
позволяет получить доступ к любому .asp - документу на сервере.
Библиотека, по-сути, является "черным ходом", причем в качестве пароля
прошита фраза "Netscape engineers are weenies!" записанная задом наперед.
Хотя разрешения по-умолчанию не позволяют анонимному пользователю получить
доступ к dvwssr.dll, на многих серверах она открыта. Библиотеку можно смело
удалить без потери функциональности. Проблему дополняет наличие
переполнения буфера, которое позволяет выполнить любой код на сервере.
(Источник: www.security.nnov.ru)
б) Программы атаки и защиты RealServer опубликованы в Сети
В пятницу компания RealNetworks опубликовала "заплатку" для своих
видео-серверов - после того, как аргентинская фирма Underground Security
Systems Research (USSR) сообщила о "дыре" в программе RealServer весьма
показательным способом.
Обнаруженная "дыра" оставляла серверы RealNetworks уязвимыми для DoS-атак,
при которых сервер может быть блокирован потоком автоматически генерируемых
ложных запросов. После этого сервер будет снова работать лишь после того,
как системный администратор его перезагрузит.
Как сообщает CNet, специалисты из USSR опубликовали в четверг не только
сообщение о "дыре", но и демо-версию программы для DoS-атаки. Программа
realdie.exe весит всего 412 байт, и по уверению USSR, ломает RealServer
любой версии.
При этом USSR не поставила предварительно в известность саму RealNetworks.
По словам представителей USSR, это было сделано нарочно, чтобы проучить
RealNetworks, которая нарушает права приватности пользователей, собирая
информацию об их музыкальных предпочтениях.
RealNetworks в свою очередь назвала агрессивность USSR безосновательной и
отвергла обвинения в шпионаже.
Пока сообщений об атаках на серверы RealNetworks не поступало. Однако уже
через день RealNetworks опубликовала патч для этой "дыры", и теперь
настоятельно рекомендует всем, у кого есть RealServer, поставить эту
заплатку.
(Источник: lenta.ru)
в) Переполнение буфера в Netware
При    установленной    поддержке    TCP/IP,    утилита   удаленного
администрирования    содержит   тривиальное   переполнение   буфера,
псевдо-HTTP-запрос  "GET  /"  и  далее  буфер  свыше  4K  приводит к
переполнению,  что  можно  использовать  для  удаленного  выполнения
троянского  кода.  Кроме  того, при крахе TCP/IP приложения имевшего
открытые  порты  не  освобождается  порт, что можно использовать для
DoS-атак. DoS - эксплоит опубликован.
==============
 Полагаю на сегодня все! Спасибо за внимание и за то доверие, которое Вы
мне оказываете   дорогие подписчики.
 Ваши материалы, опыт работы, да и просто  мысли по теме  -обязательно
присылайте мне по адресу moiseencov@kaluga.ru
С уважением: Моисеенков Андрей