Настройка удаленного доступа

Описание списка серверов

Список серверов для подключения содержиться в файле ips-net-config-client.ini, рядом с выполнимым файлом ips-net-config-client.exe сетевого конфигуратора. 

пример содержания ips-net-config-client.ini:

[Local network]

ip=192.168.1.2

[Office 1]

ip=first.office-on-the.net

[Office 2]

ip=second.office-on-the.net

[Office CargoBay]

ip=cargobay.office-on-the.net

Удаленные подключения

 

на Вашем маршрутизаторе необходимо прописать правило внешних подключений, для разрешения доступа к локальному устройству (серверу, рабочей станции, на которой запущен сервис ips-net-config-server).

Используемый порт сервисом: 1975

Создание правила зависит от конкретной модели используемого Вами маршрутизатора, о чем вы сможете узнать с сайта производителя либо прилагаемой инструкции к приобретенному продукту. Логин на запуске программы - PIN - ваша учетная текущая запись входа в систему.

Сервис сетевого конфигуратора ip-sentinel

Для работы сетевого конфигуратора требуется установка сервиса, принимающего подключения для администрирования. 

За это действие отвечает файл сервиса - ip-net-config-server.exe

Установка сервиса: просто запустите файл ips-net-config-server.exe. 

Удаление сервиса: выполните ips-net-config-server.exe /uninstall.

Сервис ips-net-config-server принимает входящие подключения сетевых конфигураторов, обрабатывает их команды, синхронизируя изменения списков всех подключений к нему.

Любое действие произведенное пользователем при администрировании правил отобразиться у всех подключенных к сервису пользователей.

Все действия описываются в файле событий сервиса: ips-net-config-server.log

пример файла событий:

# старт 2008.10.12 18:07:36 2008.10.12 18:07:36 чтение белого списка 

00:A0:C5:FE:87:C6 1-254.1-254.1-254.1-254 zyxell 

00:19:5B:46:49:DF 192.168.1.1-254 dlink 624 

00:1B:38:57:2B:4B 192.168.1.1-254 ulka lan 

00:1C:26:D1:3B:84 192.168.1.1-254 ulka wifi 

00:1B:38:78:BA:D0 192.168.1.1-254 ruslan lan 

00:1F:3A:09:A4:47 192.168.1.1-254 ruslan wiifi 

00:15:AF:68:CE:1B 192.168.1.1-254 volk wifi 

2008.10.12 18:07:36 чтение черного списка 

00:A0:C5:FE:87:C6 85.255.68.65 zyxell 

00:1F:3A:09:A4:47 1.33.192.168 ruslan wiifi 

00:19:5B:12:4B:8B 195.69.223.65 2008.09.15 23:43:08  

00:1B:11:6C:ED:08 10.0.1.55 2008.09.15 23:43:44  

00:1B:11:6C:E9:FC 10.10.2.2 2008.09.15 23:43:49  

00:15:E9:81:AC:2F 10.10.200.68 2008.09.15 23:44:09  

00:1B:FC:66:DA:1E 10.10.200.34 2008.09.15 23:44:25 MORE 

00:1B:11:6C:E6:28 10.10.2.6 2008.09.15 23:44:44  

00:0E:2E:9E:C4:6E 10.10.200.38 2008.09.15 23:45:04  

00:19:5B:70:4A:E8 10.10.200.73 2008.09.15 23:45:24  

00:01:29:4A:61:61 10.10.200.116 2008.09.15 23:45:43  

00:13:8F:72:A5:30 10.10.200.41 2008.09.15 23:46:03  

00:15:AF:B4:D2:0F 192.168.1.10 2008.10.08 21:50:28  

2008.10.12 18:07:36 применение фильтра адресов 

2008.10.12 18:07:36 Запуск сервера ips-net-config-server.exe :: 192.168.1.2:1975 

2008.10.12 18:07:36 Ожидание соединений

2008.10.12 18:59:38 RequestAuthLogin 0 ruslan@192.168.1.2\\ruslan-ПК\\RUSLAN-ПК 

2008.10.12 18:59:38 LoginOk 0 ruslan@192.168.1.2\\ruslan-ПК\\RUSLAN-ПК 

2008.10.12 18:59:38 RefreshLists 

2008.10.12 18:59:50 WhileRulesEdit 0 ruslan@192.168.1.2\\ruslan-ПК\\RUSLAN-ПК dlink 624 192.168.1.1-254 00:19:5B:46:49:DF 

2008.10.12 18:59:55 Logout 0 ruslan@192.168.1.2\\ruslan-ПК\\RUSLAN-ПК

Администрирование правил IP-Sentinel

Вступление

Служит для облегчения администрирования правил деятельности сетевого защитника. 

Существует два варианта : локальный конфигуратор (ip-sentinel-config) и сетевой (ip-sentinel-config-client). Оба выполняют одну и ту же роль с небольшой разницей: локальный конфигуратор работает непосредственно на машине, на которой работает сетевой защитник (ip-sentinel), сетевой конфигуратор - предоставляет удаленный доступ к машине сетевого защитника. 

Как настроить удаленный доступ к управлению сетевым защитником будет рассказано в другой статье.

Интерфейс

Запустив локальный конфигуратор нашему вниманию предоставлены два списка адресов. С левой стороны мы видим список правил для разрешенных устройств, он соответствует списку файла config.cfg. C правой - список обнаруженных устройств в сети, которые в данный момент блокирует сетевой защитник. Он соответствует списку файла scaned_ips_list.log.  Нажатие на строке в любом из списков, мы отправляем его на редактирование. По нажатию кнопки сохранения, отредактированное правило попадает в список разрешенных устройств и будет применено при перезапуске сервиса ip-sentinel. Что возможно произвести непосредственно из конфигуратора.

Интерфейс сетевого конфигуратора ничем не отличается от локального. Его запуску предшествует выбор сервера на котором расположен ip-sentinel.

Дальнейшие действия обоих конфигураторов аналогичны.

Для работы сетевого конфигуратора требуется установка сервиса, принимающего подключения для администрирования. Заэто действие отвечает файл сервиса - ip-net-config-server.exe

Установка сервиса: просто запустите файл ip-net-config-server.exe. Удаление сервиса: выполните ip-net-config-server.exe /uninstall.

Список допустимых действий конфигуратора

1. Создание правила, его редактирование и удаление. При удалении правила из списка разрешенных устройств оно попадает в правый список устройств. Удаляя правило из списка сканированных устройств - Вы удаляете его навсегда.

2. Установка, Запуск, Остановка сервиса Ip-Sentinel. В случае первого старта и наличии необходимых файлов для работы защитника, есть возможность произвести установку и запуск сервиса ip-sentinel прямо из конфигуратора, просто нажав кнопку установки сервиса, а при установленном сервисе - его запуск и остановку.

IP-Sentinel

Условия поставки 

Данная программа является свободным программным обеспечением.

Вы вправе распространять ее и/или модифицировать в соответствии

с условиями версии 3 либо по вашему выбору с условиями более поздней версии

Стандартной Общественной Лицензии GNU, опубликованной Free Software Foundation.

 

Мы распространяем данную программу в надежде на то, что она будет вам полезной,

однако НЕ ПРЕДОСТАВЛЯЕМ НА НЕЕ НИКАКИХ ГАРАНТИЙ, в том числе ГАРАНТИИ ТОВАРНОГО

СОСТОЯНИЯ ПРИ ПРОДАЖЕ и ПРИГОДНОСТИ ДЛЯ ИСПОЛЬЗОВАНИЯ В КОНКРЕТНЫХ ЦЕЛЯХ.

Для получения более подробной информации ознакомьтесь со

Стандартной Общественной Лицензией GNU.

 

Вместе с данной программой вы должны получить экземпляр

Стандартной Общественной Лицензии GNU.

 

Free Software Foundation, Inc., 59 Temple Place - Suite 330,

Boston, MA 02111-1307, USA.

 

Текст GNU GPL на английском языке вы можете прочитать здесь

^{http://www.gnu.org/copyleft/gpl.html}

Установка приложения

Для установки приложения требуется загрузить выполнить файл ip-sentinel.msi . После установки, выполнить файл install-dependensies.exe - он установит все необходимые дополнительные компоненты для работы программы (описаны внизу документа).

Установка\удаление сервиса IP_Sentinel

Установка сервиса происходит автоматически при любом запуске ранее установленного файла ip-sentinel.exe (каталог по умолчанию: ../Program Files/ip-sentinel/ ). Удаление сервиса осуществляеться путем выполнения команды ip-sentinel.exe /uninstall .
Запуск, остановка: net stop ip-sentinel , net start ip-sentinel .
Также запуск и остановку сервиса возможно осуществлять через mmc консоль - "Панель управления - Администрирование - Управление компьютером - Службы и приложения - Службы - ip-sentinel"

Изменение сетевого адаптера

После первого запуска приложения (сервиса), в каталоге установки будут созданы рабочие файлы программы. Один из них, ip-sentinel.ini , содержит информацию о сетевом адаптере, на котором происходит прослушивание сети и прием-посылка пакетов. По умолчанию, после первого запуска, программа выберает последний из списка Ваших сетевых адаптеров и использует его в своей дальнейшей работе. Чтобы изменить используемый адаптер, укажите его номер в поле "adapter".

[settings]
adapter=2
config_file=C:\Program Files\ip-sentinel\config.cfg

Нужный номер адаптера вы можете узнать из файла : ip-sentinel.log , отображающий все актывные (включенные) сетевые адаптеры и выбранных программой в настоящий момент.

# старт 2008.07.01 06:29:31

чтение данных конфиг файла: C:\Program Files\ip-sentinel\config.cfg
адреса не указаны. работа в режиме сбора адресов

чтение данных конфиг файла: C:\Program Files\ip-sentinel\scaned_ips_list.log
адреса не указаны. работа в режиме сбора адресов

обнаружены сетевые адаптеры : 2
1 : Adapter for generic dialup and VPN capture
2 : Attansic Gigabit Ethernet Controller
адаптер не указан, ищем рабочий адаптер
используем найденый адаптер №2 : Attansic Gigabit Ethernet Controller
HWAddress  : 38:06:74:11:11:12
NetIP   : 192.168.1.1
NetMask : 255.255.255.0
LinkSpeed  : 1000
Whitelist  : 0

начало анализа пакетов
работа в режиме сбора адресов
список адресов сетевой активности : C:\Program Files\ip-sentinel\scaned_ips_list.log
новая активность 10.10.200.1 00:19:5B:46:49:DF
смена адреса 00:19:5B:46:49:DF : 10.10.200.1 > 192.168.1.99
смена адреса 00:19:5B:46:49:DF : 192.168.1.99 > 10.10.200.1

Создание списка разрешенных устройств

Список разрешенных комбинаций физического адреса (МАС) и адреса IP содержиться в файле : config.cfg . Список содержит только разрешенные комбинации для устройств, т.е. те, чьи сетевые запросы мы будем игнорировать. Инными словами - мы баним все, что не из этого списка. Как быстро узнать, что туда необходимо внести? В этом Вам поможет файл scaned_ips_list.log . В результате работы программы ip-sentinel, этот файл будет пополняться комбинациями адресов, обнаруженных в Вашей сети, приготовленных к переносу в файл config.cfg , как одобренных Вами, т.е. - разрешенных.

Допустимы некоторые комбинации в IP адресах.

0-254.0-254.0-254.0-254@02:02:02:02:02:02 - разрешает устройству с МАС адресом 02:02:02:02:02:02 принимать любые адреса. Это может быть маршрутизатор (ответы от удаленных адресов вне вашей локальной сети будут поступать к Вам в виде 193.64.15.125@02:02:02:02:02:02).
10.10.200.100-199@02:02:02:02:02:05 - устройство с МАС адресом 02:02:02:02:02:05 получает IP адрес динамически и его диапазон может быть в рамках, установленных на DHCP сервере.
192.168.1.1@38:06:74:11:11:12 - устройство с МАС адресом 38:06:74:11:11:12 имеет постоянный IP и только в этой комбинации будет проигнорировано защитником.
192.168.0,1.50-61@38:06:74:12:69:79 - устройство с МАС адресом 38:06:74:12:69:79 может примимать любой адрес сетей 192.168.0 , 192.168.1 и адреса в каждой из них с 50го по 61й (например 192.168.0.55, 192.168.1.60 и т.д.)

запятая ( "," ) - внутренний разделитель диапазонов адресов
    например: 192.168.1.1-10,100-110@02:02:02:02:02:02  - разрешает работать в сети с адресами между 1 и 10, 100 и 110
                         192.168.0,2-3.1-10,100-110@02:02:02:02:02:02 - разрешает работать в сети Б класса ( исключая сеть 1) - 0,2,3 и с адресами между 1 и 10, 100 и 110
число1-число2  в адресе считаем как диапазон адресов между (включая числа)

Совет

Советуем назначать маршрутизаторам разрешение 0-254.0-254.0-254.0-254@XX:XX:XX:XX:XX:XX т.к. маршрутизатор возвращает Вашей машине внешние адреса в виде внешнего адреса с физическим адресом Вашего маршрутизатора.

Примецания

Программа(сервис)  ip-sentinel работает в двух режимах:
1. сбор адресов сетевой активности - файл config.cfg без единой записи;
2. работа в режиме блокировки недопустимых адресов - в файле есть хотябы одно правило.

Особая благодарность

Функциональной частью проекта служат компоненты, разработанные CACE Technologies.
ActiveX компонент сбора активности сети BeeSync Technologies. 
Оригинальная идея, на основе которой построен проект - http://www.nongnu.org/ip-sentinel/README
За это им всем особая благодарность.

Компоненты winpcap и pocketx вложены в проект для удобства применения, но поставляются на условиях, указанными в соглашениях их разработчиков.