Připravte se na změny - "ping"
Autor: Czernobyl (mailto:czernobyl@khnet.info),
Téma: Technické info
Vydáno dne 29. 01. 2007 (14188 přečtení)
Připravuje se drobná změna v provozním řádu Sdružení.
Už měla být zavedena od roku 2005, ale zatím se to neprovedlo. Brzy to ale vejde v platnost.
Tento článek je na KHnetu již od 21.7.2005
Bude přidán bod o povinnosti každého Člena zajistit, aby každé jeho zařízení, které používá přidělenou IP adresu, bylo dostupné pomocí příkazu ping. Toto nastavení bude výsledně přínosné pro uživatele, ale hlavně pro administrátory sítě. Pokud stanice, router, hw ap (dale jen zařízení) odpovídá na tzv "ping" je spoj/spoje k tomuto zařízení funkční.
Co to je ten ping? Jedná se o jednoduchou síťovou službu, kdy zařízení A pošle zařízení B nějaká data, a zařízení B je nezměněné pošle nazpět.
Upozornění členům
Až nová úprava provozního řádu vejde v platnost, budeme nárazově zjišťovat "provinilce", upozorňovat je e-mailem a žádat nápravu. Pokud majitel nenastaví po výzvě do stanovené doby zařízení do souladu s požadavky Provozního řádu, může být omezena konektivita zařízení do sítě Internet.
Co se dá zjistit pingem?
• zda je zařízení zapnuté
• zda funguje správně směrování dat na zařízení
• zda má zařízení správně nastavené některé parametry síťového připojení
• délku času odezvy zařízení
• ztrátovost dat při vysílání/příjmu zařízení
V kombinaci s dalšími nástroji lze v některých případech odhadnout míru rušení ostatních, kterou zařízení způsobuje, v kombinaci s polohou zařízení vůči AP lze usuzovat na problém omezený na určitý směr a oblast apod.
Pozor na nastavení zařízení, které sice na "ping" a podobné služby umožní odpověď, ale pouze z některých částí sítě - například pouze v rámci přístupového bodu. Při zkoušení ze vzdálenějších míst zařízení neodpovídá, jako by vůbec nebylo zapnuté. Není to sice tak zlé jako úplný zákaz odezvy na ping, ale značně to redukuje možnosti při hledání problémů.
Pozor na nastavení firewallu
Neodpovídání na "ping" nejčastěji způsobuje nevhodně nastavený software zajišťující "firewall" (např. Kerio) - jeho nastavení je příliš přísné. Službu "ping", nebo obecně protokol ICMP je nutné povolit nejméně z "místní" sítě KHnet.info. Tu tvoří adresní rozsahy IP adres:
• 10.106.0.0-10.106.255.255
Pomocí síťové masky se rozsahy vyjadřují jako
• adresa 10.106.0.0, maska 255.255.0.0
a pomocí síťového prefixu jako
• 10.106.0.0/16
Protokol ICMP musí být povolený buď ze všech, nebo alespoň z výše uvedených rozsahů adres. Navíc musí být Windows samotné nastavené tak, aby žádosti o "ping" nezahazovaly (nastavení Windows XP viz níže).
Služby, které by měly být raději vypnuté
Z bezpečnostních důvodů nedoporučujeme používat sdílení disků operačních systémů z řady MS Windows. Zabezpečení přístupu je příliš slabé a bezpečnostní díry v něm jsou široce využívané - zejména, pokud váš OS pravidelně neaktualizujete. Nebudete-li provozovat sdílení disků, je vhodné zrušit na síťovém rozhraní protokol NetBios/NetBEUI Dále nemá smysl využívat službu "WINS", není určena pro rozlehlé sítě.
Nastavení Windows XP
Pokusím se stručně popsat nastavení Windows XP - u starších verzí Windows bude postup obdobný, ale ikonky budou možná trochu jinde a možná se budou jinak jmenovat. Windows XP mají v sobě zabudovaný jednoduchý firewall - dokáží blokovat nežádoucí dotazy na Váš počítač. Ale pozor! Standardní nastavení firewallu (je-li zapnutý) blokuje právě i službu "ping".
Windows XP Service Pack 2
Windows s nainstalovaným Service Packem 2 mají vzhledem k "složitějšímu" firewallu trochu jinak udělaná okénka pro konfiguraci. Návod na konfiguraci Windows XP nebo Windows XP SP1 naleznete níže.
1. V Ovládacích panelech spustíte Síťová připojení.
Pokud nevidíte, máte pravděpodobně řazené ovládací panely „po novu“. Stačí v levé, horní části okna kliknout na „Přepnout do klasického zobrazení“.
2. Z nabídnutého seznamu vyberte "Přípojení k místní síti", jste-li přípojení přes domovní LAN nebo pomocí HW AP. Pokud Vám anténa vede přímo do počítače, do bezdrátové karty, bude připojení uvedeno jako "Připojení k bezdrátové síti". Na ikonku poklepejte myší a otevřete. Na okně, které vyskočí, stiskněte tlačítko "Vlastnosti".
3. Pokud nepoužíváte sdílení disků Windows (doporučujeme nesdílet), vypněte položky "Klient sítě Microsoft" a "Sdílení souborů a tiskáren v sítích Microsoft".
4. Přejděte na záložku "Upřesnit". V oddíle "Brána firewall systému Windows", stiskněte tlačítko "Nastavení".
5. V novém okně zapněte firewall (volba "Zapnuto") a přejděte na záložku "Upřesnit".
6. V oddíle "Protokol ICMP" stiskněte tlačítko "Nastavení"
7. Zapněte volbu "Povolit příchozí zprávy s požadavkem na odezvu"
Windows XP Service Pack 1
Windows XP bez service packu nebo se service packem 1 mají trochu jinak udělaná okénka pro konfiguraci (SP2 mění především firewall).
1. V Ovládácích panelech spustíte Síťová připojení
2. Z nabídnutého seznamu vyberte "Přípojení k místní síti", jste-li přípojení přes domovní LAN nebo pomocí HW AP. Pokud Vám anténa vede přímo do počítače, do bezdrátové karty, bude připojení uvedeno jako "Připojení k bezdrátové síti". Na ikonku poklepejte myší a otevřete. Na okně, které vyskočí, stiskněte tlačítko "Vlastnosti".
3. Pokud nepoužíváte sdílení disků Windows (doporučujeme nesdílet), vypněte položky "Klient sítě Microsoft" a "Sdílení souborů a tiskáren v sítích Microsoft".
4. Přejděte na záložku "Upřesnit". Nemáte-li zatrženou volbu "Chránit počítač a síť...", zapněte ji. To zapne firewall, který zvýší bezpečnost Vaší stanice.
5. Stále na záložce "Upřesnit", stiskněte tlačítko "Nastavení", a v novém okně přejděte na záložku "ICMP".
6. Zapněte volbu "Povolit příchozí zprávy s požadavkem na odezvu".
Výše uvedeným postupem zvýšíte zabezpečení Vaší stanice před útokem virů a hackerů. Povolením ICMP zpráv zároveň ulehčíte život svému správci.
Článek byl převzat (díky hoši) z www.klfree.net a následně upraven