RSS

Архив рубрики: Networks

My recipe on detecting and blocking of abnormal scanning by means of iptables in Linux


Long ago didn’t write itself, I want to be corrected.

Today it will be a question of detecting and blocking of abnormal scanning by means of iptables in the Linux operating system.

Since recipes of my blog use without the instruction me as the primary source (and without references to my articles), placing, besides, similar information backdating, I promise that it is the last my help to you, fans of plagiarism.

Described below rules are collected by me from various, not Russian-speaking, sources, but all together, in that look in which they will be brought by me, you won’t find on one resource in the Internet. However information provided on a tyyuning of a network stack of Windows in the section MS Platforms on this site, is also unique and doesn’t meet anywhere in that look in which it is given by me.

I will not pour to no purpose water, we will pass to business.

I suggest to make the following changes to your tables iptables:

iptables -t filter -A INPUT -p tcp –tcp-flags ALL NONE -j LOG –log-prefix “Stealth scan: 0 DROP “
iptables -t filter -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL ALL -j LOG –log-prefix “Stealth scan: 1 DROP “
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j LOG –log-prefix “Stealth scan: 2 DROP “
iptables -t filter -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG –log-prefix “Stealth scan: 3 DROP “
iptables -t filter -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j LOG –log-prefix “Stealth scan: 4 DROP“
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j LOG –log-prefix “Stealth scan: 5 DROP“
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j LOG –log-prefix “6 Stealth scan”
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j LOG –log-prefix “7 Abnormal steal”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j LOG –log-prefix “8 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j LOG –log-prefix “A9bnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j LOG –log-prefix “10 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j LOG –log-prefix “11 Abnormal sc$
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j LOG –log-prefix “12 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ACK,URG URG -j LOG –log-prefix “13 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ACK,URG URG -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL FIN -j LOG –log-prefix “14 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ALL FIN -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j LOG –log-prefix “15 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j LOG –log-prefix “16 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j LOG –log-prefix “17 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j LOG –log-prefix “18 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j LOG –log-prefix “19 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j LOG –log-prefix “20 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j LOG –log-prefix “21 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j LOG –log-prefix “22 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j LOG –log-prefix “23 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j LOG –log-prefix “24 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j LOG –log-prefix “25 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL RST -j LOG –log-prefix “26 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ALL RST -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL RST,ACK -j LOG –log-prefix “27 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ALL RST,ACK -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j LOG –log-prefix “28 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j DROP
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG –log-prefix “29 Abnormal scan”
iptables -t filter -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP

As you see only 29 chains. It is possible to add this list with several more chains, but they will break normal functioning of a network stack of your penguin and can be used only at station in a configuration with means of detecting and preventive reaction of network invasion. Therefore by me they it is brought won’t be.

It is worth to remember also about ways тmюнига a network stack means of sysctrl which are more richly presented, in comparison with possibilities of a network stack of MS Windows. By means of means of sysctrl you can protect even more your defoltny тюкс.

I promise you to please still with something in the future.

Good luck! And to new meetings!

 

Метки: , , , , , ,

Мой рецепт по детектированию и блокированию аномального сканирования средствами iptables в Linux


Давно не писал сам, хочу исправиться.

Сегодня речь пойдет о детектировании и блокировки аномального сканирования средствами iptables в операционной системе Linux.

Т. к. рецептами моего блога пользуются без указания меня, как первоисточника (и без ссылок на мои статьи), размещая, к тому же, аналогичную информацию задним числом, то обещаю, что это последняя моя помощь вам, любители плагиата.

Нижеописанные правила собраны мною из различных, не русскоязычных, источников, но все вместе, в том виде, в котором они будут приведены мною, вы не найдете ни на одном ресурсе в сети Интернет. Впрочем информация, приведенная по тьюнингу сетевого стека Windows в разделе MS Platforms на данном сайте, также уникальна и нигде не встречается в том виде, в котором она дается мною.

Не буду зазря лить воду, перейдем к делу.

Предлагаю внести следующие изменения в ваши таблицы iptables:

iptables -A INPUT -p tcp —tcp-flags ALL NONE -j LOG —log-prefix «Stealth scan: 0STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL NONE -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL ALL -j LOG —log-prefix «Stealth scan: 1STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL ALL -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL FIN,URG,PSH -j LOG —log-prefix «Stealth scan: 2STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG —log-prefix «Stealth scan: 3STEAL «
iptables -A INPUT -p tcp —tcp-flags ALL SYN,RST,ACK,FIN,URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,RST SYN,RST -j LOG —log-prefix «Stealth scan: 4STEAL «
iptables -A INPUT -p tcp —tcp-flags SYN,RST SYN,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN SYN,FIN -j LOG —log-prefix «Stealth scan: 5STEAL «
iptables -A INPUT -p tcp —tcp-flags SYN,FIN SYN,FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,ACK FIN -j LOG —log-prefix «6Stealth scan»
iptables -A INPUT -p tcp —tcp-flags FIN,ACK FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j LOG —log-prefix «7Abnormal steal»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG URG -j LOG —log-prefix «8Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK FIN -j LOG —log-prefix «A9bnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK NONE -j LOG —log-prefix «10Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK NONE -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j LOG —log-prefix «11Abnormal sc$
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j LOG —log-prefix «12Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ACK,URG URG -j LOG —log-prefix «13Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ACK,URG URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL FIN -j LOG —log-prefix «14Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,RST FIN,RST -j LOG —log-prefix «15Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags FIN,RST FIN,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags ACK,PSH PSH -j LOG —log-prefix «16Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ACK,PSH PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,ACK,FIN,RST SYN -j LOG —log-prefix «17Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,ACK,FIN,RST SYN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,URG SYN,URG -j LOG —log-prefix «18Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,URG SYN,URG -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,ACK SYN -j LOG —log-prefix «19Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,ACK SYN -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j LOG —log-prefix «20Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST SYN,FIN,RST -j LOG —log-prefix «21Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST SYN,FIN,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j LOG —log-prefix «22Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL SYN,PSH -j LOG —log-prefix «23Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL SYN,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL SYN,ACK,PSH -j LOG —log-prefix «24Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL SYN,ACK,PSH -j STEAL
iptables -A INPUT -p tcp —tcp-flags ACK,FIN FIN -j LOG —log-prefix «25Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ACK,FIN FIN -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL RST -j LOG —log-prefix «26Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL RST,ACK -j LOG —log-prefix «27Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL RST,ACK -j STEAL
iptables -A INPUT -p tcp —tcp-flags ALL ACK,PSH,RST -j LOG —log-prefix «28Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags ALL ACK,PSH,RST -j STEAL
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG —log-prefix «29Abnormal scan»
iptables -A INPUT -p tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j STEAL

Как вы видите всего 29 цепочек. Данный список можно дополнить еще несколькими цепочками, но они нарушат нормальное функционирование сетевого стека вашего пингвина и могут быть использованы только на станции в конфигурации со средствами детектирования и превентивного реагирования сетевого вторжения. Поэтому мною они приводится не будут.

Не стоит также забывать о способах тmюнига сетевого стека средствами sysctrl, которые более богато представлены, по сравнению с возможностями сетевого стека MS Windows. С помощью средств sysctrl вы сможете еще более защитить ваш дефолтный тюкс.

Обещаю вам еще чем-нибудь порадовать в будущем.

Удачи! И до новых встреч!

P.S.: STEAL уже не используется в последних векрсиях ntfilter, а жаль, поэтому надо заменить на DROP. Также разумным было бы заменить iptables -A INPUT на iptables -t filter -A INPUT. 😉

 

Метки: , , , , , , , , , , ,

Сохранение конфигурации с оборудования Cisco (SNMP)


По роду работы, у многих администратор и инженеров часто встает проблема регулярного сохранения конфигурационных файлов с большого количества оборудования Cisco Systems. Эта статья освещает вариант
автоматизации этого процесса с использованием технологии SNMP.

Регулярное сохранение конфигураций оборудования можно делать как минимум 2мя способами. Первый – это коннектиться телнетом или по ssh, неважно, и потом делать copy run tftp. Это можно оформить в виде скрипта. У этого способа 2 недостатка, во первых, передача в открытом виде пароля по сети, и, во вторых, это долгий процесс по времени если сравнивать со вторым способом. Второй способ это сохранять посредством SNMP. Вкратце Simple Network Management Protocol – это технология, призванная обеспечить управление и контроль за устройствами и приложениями в сети связи путём обмена управляющей информацией между агентами,
располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления.

Инструментарий для работы с SNMP это пакет net-snmp в частности 2 команды из этого пакета это snmpwalk и snmpset. Первая позволяет просмотреть какие MIB поддерживает устройство, а вторая позволяет собственно управлять устройством. Также для сохранения конфигов нужен tftp сервер, есть возможность сохранять на ftp но, по-моему, проще на tftp. Платформу на которой всё это городить можно выбрать разную Windows, Linux…и т.д. Я использовал Linux ибо проще всё это прикручивать.

Собственно вот сами MIB которые и позволяют делать эти шаманские действия. Оговорюсь что у цисок в частности свитчей существует IOS (Internetwork Operation System) и COS (Catalyst Operation System) это для записи конфига на tftp IOS аналог в консоли copy running-config tftp вот линк с детальным описанием

snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.2.1.55.192.168.1.1 octetstring routername-confg
это для записи конфига на tftp COS аналог в консоли write net вот линк с детальным описанием

snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.5.1.5.1.0 octetstring 192.168.1.1 (Устанавливаем IP tftp)
snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.5.1.5.2.0 octetstring routername-confg (Задаём имя конфигу)
snmpset -c $RW $IPtftp .1.3.6.1.4.1.9.5.1.5.4.0 integer 3 (Говорим циске писать на tftp)

Желательно на циске сделать данные настройки:
это для IOS

access-list 3 remark “SNMP RW access”
access-list 3 permit 192.168.1.1
snmp-server community secret RW 3

Это для COS

set ip permit 192.168.1.1 snmp
set ip permit enable snmp
set snmp community read-write secret

Собственно вот минимальный конфиг для сохранения на цисках у которых стоит ОС IOS:
#!/usr/bin/perl
use English;
$BACKUP_DIRS = “/root/backup-conf-cisco/”;
$BACKUP_SOURCE_DIR = “/tftpboot/”;
$tftpserver = ’192.168.1.1′;
$MIB = ‘.1.3.6.1.4.1.9.2.1.55′;
$RW = ‘secret’;
# файл host-ios должен быть в формате
# cisco-one::192.168.1.2
# cisco-two::192.168.1.3 и т.д.
$filename_host = ‘/root/script/host-ios’;
#Опрашиваем все циски по SNMP из файла host
open DATA, $filename_host or die “Невозможно открыть $filename_host: $!”;
while ()
{
chomp;
# теперь в $_ есть строка и мы ее разделяем на переменные
($name, $ip) = split(/::/);
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip $MIB.$tftpserver s $name”);
}
close DATA;
system (“mkdir $BACKUP_DIRS/`date +%m.%Y` -p”);
system (“tar cvzf $BACKUP_DIRS/`date +%m.%Y`/configs-`date
+%b.%d.%Y`.tar.gz $BACKUP_SOURCE_DIR >> /dev/null && rm
-f $BACKUP_SOURCE_DIR/*”);

Собственно вот минимальный конфиг для сохранения на цисках у которых стоит ОС СOS:
#!/usr/bin/perl
use English;
$tftpserver = ’192.168.1.1′;
$RW = ‘secret’;
# файл host-cos должен быть в формате
# cisco-one::192.168.1.2
# cisco-two::192.168.1.3 и т.д.
$filename = ‘/root/script/host-cos’;
open DATA, $filename or die “Невозможно открыть $filename: $!”;
while ()
{
chomp;
# теперь в $_ есть строка и мы ее разделяем на переменные
($name, $ip) = split(/::/);
# устанавливаем на циске IP tftp сервера
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip .1.3.6.1.4.1.9.5.1.5.1.0 s 172.25.15.8″);
# устанавливаем имя под которым будет сохраняться конфиг
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip .1.3.6.1.4.1.9.5.1.5.2.0 s $name”);
# ну а тут говорим циске сгрузить конфиг на tftp
system (“snmpset -v 2c -O qv -t 5 -c $RW $ip .1.3.6.1.4.1.9.5.1.5.4.0 i 3 “);
}
close DATA;

для сохранения конфигов с PIX я знаю только один вариант в виду того,
что они не поддерживают типы сообщений SNMP Set. Остается только первый
вариант это сохранение посредством телнета, вот сам скрипт:
#!/usr/bin/perl
use English;
# файл host-pix должен быть в формате
# cisco-one::192.168.1.2
# cisco-two::192.168.1.3 и т.д.
$filename = ‘/root/script/host-pix’;
$DIR=”/root/script/”;
# пользователь в моём случае аутентификация через tacasc+
$USER=”user”;
$PASS_USER=”passuser”;
# пароль на ENABLE
$PASS_ENABLE=”passenable”;
system(“rm -f ./temp.sh”);
open DATA, $filename or die “Невозможно открыть $filename: $!”;
while ()
{
chomp;
# теперь в $_ есть строка и мы ее разделяем на переменные
($name, $ip) = split(/::/);
system(“cd $DIR”);
system(“echo ‘#!/usr/bin/expect -f’ >> temp.sh”);
system(“echo spawn telnet $ip >> temp.sh”);
system(“echo expect ‘Username: ‘ >> temp.sh”);
system(“echo send \”$USER\\r\” >> temp.sh”);
system(“echo expect ‘Password: ‘ >> temp.sh”);
system(“echo send \”$PASS_USER\\r\” >> temp.sh”);
system(“echo sleep 3 >> temp.sh”);
system(“echo send \”enable\\r\” >> temp.sh”);
system(“echo expect ‘Password: ‘ >> temp.sh”);
system(“echo send \”$PASS_ENABLE\\r\” >> temp.sh”);
system(“echo sleep 10 >> temp.sh”);
system(“echo send ‘\”write net 172.25.15.8:config-$name\\r\”‘ >> temp.sh”);
system(“echo sleep 15 >> temp.sh”);
system(“echo send \”exit\\r\” >> temp.sh”);
system(“chmod 755 ./temp.sh”);
system(“./temp.sh”);
system(“rm -f ./temp.sh”);
}
close DATA;

оригинал: http://webdock.nnm.ru/sohranenie_konfigov_s_cisok

 

Метки: , ,

Ученье – свет и высокая зарплата: обзор программных эмуляторов сетевого оборудования Cisco Systems и Juniper Networks


Чтобы научиться работать с “серьезным” сетевым оборудованием, совсем необязательно иметь тугой кошелек. Можно воспользоваться специальными эмуляторами, полностью имитирующими нужную среду, а то и целые сети.

Packet Tracert

Разработчик: Cisco Systems Inc.
Web: cisco.com/web/learning/netacad/course_catalog/PacketTracer.html
ОС: Windows XP/Vista/7, Linux (Ubuntu, Fedora)
Лицензия: бесплатно для зарегистрированных преподавателей и студентов курсов

Умение работать с оборудованием Cisco всегда являлось жирным плюсом при приеме на работу, однако оплатить курсы или приобрести циску (даже б/у) может далеко не каждый. Вероятно, поэтому количество кошачьих эмуляторов растет из года в год, и они пользуются популярностью у админов и желающих ими стать. Используя эмулятор, можно самостоятельно подготовиться к получению сертификатов CCNA (Cisco Certified Network Associate, Сертифицированный Cisco Сетевой Специалист), “перепробовав” все доступные девайсы и понастраивав сеть.

Обзор начнем с официальной разработки Cisco – эмулятора Packet Tracert, предлагаемого отделением Networking Academy, отвечающим за образование и подготовку различных курсов. Задача программы: помочь закрепить на практике полученные студентом теоретические навыки. Для ее решения PT обладает всем необходимым, позволяя “строить” сети различной сложности с практически неограниченным количеством устройств. Все установки производятся при помощи логической диаграммы сети, для симуляции представлен весь спектр оборудования, выпускаемого Cisco (роутеры, свитчи, точки доступа и т.п.). Можно изменять настройки объектов, моделировать потоки данных и многое другое. Поддерживается большое количество протоколов и технологий, используемых в оборудовании Cisco (полный список смотри в документации на сайте).

Работа с оборудованием хоть и виртуальна, но выглядит так, будто приходится использовать реальные устройства. Можно добавлять платы расширения, настраивать параметры в командной строке или используя графический интерфейс. Весь процесс обмена данными представлен в виде диаграмм и таблиц, что помогает визуально оценить текущие настройки и работу оборудования.

Официально в свободном доступе Packet Tracert не найти, он предназначен только для зарегистрированных преподавателей и студентов курсов (его можно найти на дисках, прилагаемых к некоторым книжкам по цисковским курсам). Но – нехитрый запрос к гуглу, и нужная программа будет у тебя на харде. Во время установки никаких ключей не требуется, сам процесс стандартен.

Все настройки производятся в большом окне посередине. Внизу слева находятся группы устройств, после выбора чуть правее появляются сами устройства. Отмечаем нужное и двойным щелчком на свободном месте в поле посередине переносим его на карту сети. Поддержка drag’n’drop делает процесс очень простым, устройства затем можно двигать, удалять и т.п. Удобно, что PT самостоятельно связывает некоторые девайсы, например, при появлении Wireless свитча к нему автоматически подключаются все устройства, поддерживающие этот вид соединения. При протяжке кабеля выбираем порт, к которому его подключаем. Один из значков отвечает за автоматическое определение типа соединения, что ускоряет сборку сети на стадии изучения. Если в процессе будет допущена ошибка, то пользователь получает предупреждение с кратким описанием (например, нет свободного разъема).

Пока все настройки логической сети производились во вкладке Logical Workspace (Ctrl+L). Чтобы перейти к физическому устройству и посмотреть порядок подключения, следует выбрать в верхнем левом углу вкладку Physical Workspace (Ctrl+P). Также PT предоставляет два режима отображения работы сети: Realtime Mode (Ctrl+R) и Simulations Mode (Ctrl+S). Переключение производится при помощи ярлыков в правом нижнем углу или горячих клавиш. В Realtime сеть работает в обычном режиме, в режиме Simulations можно наблюдать и контролировать процессы, происходящие в сети (работу устройств, интервалы времени, механизмы передачи данных и т.д.) Мастер Activity Wizard поможет создать собственные учебные сценарии.

Осталось добавить, что предусмотрена работа в многопользовательском режиме, а также доступно несколько пособий по настройке Cisco и справочная система, помогающая разобраться во всех возможностях.

Эмулятор Dynamips

Разработчик: OpenSource
Web: http://www.ipflow.utc.fr/index.php/Cisco_7200_Simulator
ОС: Windows 2k/XP/Vista, x32/x64 Linux, Mac OS X
Лицензия: GNU GPL

Проект Dynamips стартовал в августе 2005 года как эмулятор маршрутизатора Cisco 7200 на ПК и предназначался для проверки конфигурации перед использованием на настоящем оборудовании и для обучения. Сегодня Dynamips может эмулировать и другие платформы Cisco – серии 3600, 3700 и 2600. Причем с выбором разных вариантов устройств: CPU (MIPS64 и PowerPC), RAM (DRAM, Packet SRAM, NVRAM), различных типов карт и портов. Предусмотрена возможность создания виртуальных мостов и коммутаторов. Главная особенность – эмулируемое устройство можно подключить к реальной сети, для чего один из выходов виртуального маршрутизатора связывается с реальной сетевой картой. Работа в режиме гипервизора позволяет распределить нагрузку на несколько систем, ведь IOS (Internet Operating System) образы полностью загружаются в ОЗУ и при большом количестве виртуальных систем отбирают много ресурсов.

Нужный пакет доступен в репозиториях некоторых дистрибутивов Linux. Для захвата трафика используется библиотека pcap, при установке в Windows потребуется самостоятельно инсталлировать WinPCAP. В Ubuntu/Debian установка проста:

$ sudo apt-get install dynamips

Все параметры Dynamips легко узнать, запустив его с ключом ‘–help’. По умолчанию эмулируется Cisco 7206VXR с NPE-200 и 256 Мб ОЗУ DRAM. Чтобы указать другую платформу, следует использовать параметр ‘-P’ (например, “-P 3600″). Дополнительный ключ ‘-t’ позволяет “изменить” внутренности виртуального маршрутизатора (в зависимости от выбранного типа аргументы ‘-t’ будут различны). Для запуска понадобятся реальные IOS образы Cisco, которые не являются частью пакета, и их необходимо скачивать отдельно (легко находятся гуглом, в Сети доступны сборники по несколько гигов). Иногда IOS-образы поставляются в сжатом виде, и перед загрузкой их нужно распаковать:

$ unzip -p c7200-g6ik8s-mz.124-2.T1.bin > c7200.image

Запускаем:

$ dynamips c7200.image

Но в плане настроек Dynamips не очень удобен, чтобы создать на его основе сеть из нескольких маршрутизаторов, придется немало потрудиться. Эту задачу можно облегчить при помощи Dynagen, который является текстовым фронт-эндом к Dynamips. Используя простой файл описания виртуальной среды, мы можем легко соединить несколько устройств. Главное, что все установки собраны в одном месте, имеют простой синтаксис и легко редактируются.

$ nano v_router.net

# Описание узла, на котором установлен Dynamips
[localhost]
# Тип роутера
[[7200]]
# Путь к IOS-файлу
image = /home/grinder/images/c7200.image
# Общие параметры, в данном случае платформа и RAM, при необходимости внутри роутера можно указывать специфические настройки
npe = npe-400
ram = 160

# Первый роутер
[[Router R1]

# Указываем подключение, в нашем случае интерфейс Serial1/0 на R1 будет подключен к Serial1/0 R2
s1/0 = R2 s1/0

[[Router R2]]
# Оставляем все по умолчанию

Это простейший пример, чтобы понять суть настроек. В “боевом” конфиге может быть с десяток самых разных роутеров и конфигураций. Например, чтобы связать один из выходов виртуального маршрутизатора с сетевым интерфейсом реальной или виртуальной системы, пишем:

s2/0 = NIO_linux_eth:eth1

Сначала запускаем dynamips в режиме гипервизора (после отладки можно стартануть в фоне, добавив ‘&’):

$ sudo dynamips -H 7200
Cisco Router Simulation Platform (version 0.2.8-RC2-amd64)
Copyright (c) 2005-2007 Christophe Fillot.
Build date: May 9 2009 18:06:28

ILT: loaded table “mips64j” from cache.
ILT: loaded table “mips64e” from cache.
ILT: loaded table “ppc32j” from cache.
ILT: loaded table “ppc32e” from cache.
Hypervisor TCP control server started (port 7200).

Теперь Dynagen:

$ dynagen v_router.net

После загрузки образов (процесс будет выводиться в консоли, где запущен dynamips) и настроек виртуальных роутеров получим приглашение консоли управления. Введя знак вопроса или help, получим справку по командам. Набрав “help команда”, узнаем обо всех параметрах конкретной команды. Поддерживается автодополнение ввода при помощи клавиши . Для остановки, запуска, перезапуска, приостановки и продолжения применяем команды start, stop, reload, suspend, resume с указанием имени роутера или ключа /all для всех устройств:

=> reload R1

Все команды регистрозависимы, поэтому нужно быть внимательнее. Просмотрим список работающих маршрутизаторов:

=> list
Name Type State Server Console
R1 7200 running localhost:7200 2000
R2 7200 running localhost:7200 2001

Теперь при помощи команды:

$ telnet localhost 2000

Можем подключиться к порту, указанному в поле Console. Хотя проще подключиться, указав имя устройства в строке приглашения Dynagen:

=> telnet R1

В отдельном окне откроется окно терминала, в котором уже управляем настройками.

Несколько виртуальных маршрутизаторов могут нехило загрузить систему. Причем вне зависимости от реально выполняющейся работы. Это происходит потому, что Dynamips не знает, когда роутер выполняет полезную работу, а когда находится в режиме ожидания. Команда idlepc позволяет проанализировать IOS-образы в действии и определить циклы простоя. При первом запуске значение не установлено:

*** Warning: Starting R1 with no idle-pc value

Нужную цифирь idle-pc можно получить, введя в консоли dynagen команду “idlepc get имя_роутера”:

=> idlepc get R1

Будет выдано несколько значений, наиболее оптимальные отмечены знаком “*”. Далее выполнение команды остановится, и потребуется ввести одну из цифр, соответствующих выбранному idlepc. После этого его значение будет добавлено к выполняющемуся процессу. При запуске Dynamips вручную значение idlepc указывается при помощи параметра ‘–idle-pc=’, как вариант, в секции роутера конфига Dynagen дописываем:

idlepc = 0x6076a394

Но лучше просто сохранить значение, чтобы оно считывалось при последующих загрузках:

=> idlepc save R1 db

Повторно просмотреть весь список idlepc просто:

=> idlepc show R1

Все, маршрутизатор можно настраивать.

Проект оброс несколькими субпроектами, делающими использование Dynagen более удобным. Например, gDynagen обеспечивает единую консоль для ввода команд для Dynamips + Dynagen. Генератор настроек для Dynagen – confDynagen добавляет новый режим конфигурирования, который дает возможность изменять параметры Dynagen “на лету”, без остановки виртуальной сети.

Симулятор GNS3

Разработчик: OpenSource
Web: ns3.net
ОС: Windows 2k/XP/Vista, *nix, Mac OS X
Лицензия: GNU GPL

GNS3 (graphical network simulator) – очень мощный симулятор, выпускаемый под свободной лицензией и позволяющий эмулировать сети большого размера. Полезен администраторам и инженерам, а также пользователям, которые готовятся к сдаче сертификатов Cisco (CCNA, CCNP, CCIP, CCIE) и Juniper Networks (JNCIA, JNCIS, JNCIE). Чтобы обеспечить максимальную функциональность, также следует установить Dynamips, Dynagen и виртуальную машину Qemu. Для захвата пакетов потребуется Wireshark (wireshark.org). Кроме образов Cisco IOS, GNS3 умеет работать с olive-образами JunOS (juniper.net/ru/ru/products-services/nos/junos) – операционки, используемой в оборудовании компании Juniper Networks.

Возможна эмуляция простых Ethernet, ATM и Frame Relay свитчей и файеров (ASA, PIX). Как и в случае с Dynamips, легко подключить виртуальный свитч к сетевой карте реальной или виртуальной системы. И главное – все настройки производятся в интуитивно понятной графической среде.

Пакет GNS3 уже доступен в репозиториях большинства основных дистрибутивов Linux. В Debian/Ubuntu для установки набираем:

$ sudo apt-get install gns3

Чтобы использовать самые свежие версии, следует подключить репозиторий gpl.code.de. Подробные инструкции для своего дистрибутива ищи по адресу gpl.code.de/oswiki/GplcodedeApt. Для самостоятельной сборки пакетов потребуется наличие Python и ряда библиотек: Qt, PyQt и других.

При первом запуске встречает Setup Wizard, объясняющий два основных требования к запуску программы: проверить правильность пути в Dynamips и при необходимости скорректировать его. Плюс загрузка IOS-образов.

Окно программы можно назвать стандартным. Слева в “Nodes Types” находятся значки устройств, которые простым перетаскиванием помещаем в окно посередине, строя виртуальную сеть. Двойным щелчком вызываем окно свойств, где настраиваются специфические параметры для конкретного роутера, и, в том числе, добавляются адаптеры. Контекстное меню позволяет запустить, остановить устройство, получить IDLE PC, выйти в консоль. В панели сверху доступны примитивные инструменты рисования (вставка круга, прямоугольника, рисунка). Сеть, состоящая из одних маршрутизаторов, не очень наглядна, остальные компоненты сети (серверы, принтеры и т.п.) добавляются через “Edit – Symbol Manager”.

Правое окно “Topology Summary” предназначено для быстрой навигации, здесь выводятся все девайсы (работающие подсвечиваются зеленым значком). Если образа, соответствующего выбранному устройству, в коллекции GNS3 нет, то при попытке добавить такой роутер получим предупреждение. Чтобы добавить IOS-образы или указать местонахождение гипервизоров Dynamips, открываем “Edit – IOS images and hypervisors”. Указываем на image-файл, при этом платформа, модель и количество RAM отображаются автоматически. Эти значения будут использованы по умолчанию, их можно скорректировать. В поле IDLE PC прописывается нужное значение (если оно известно). Внизу посередине находится консоль Dynagen, предназначенная для непосредственного ввода команд.

После нанесения на карту всех устройств при помощи консоли приступаем к их настройке, в частности, устанавливаем связи щелчком по “Add a link”. Созданные настройки сохраняются в файл для повторного использования.

Стоит отметить, что имеется еще один проект – Dynagui, наглядно показывающий подключения между роутерами. Но по функциональности он не дотягивает до GNS3, а последнее обновление датировано 2007 годом.
Заключение

Не стоит пренебрегать программными эмуляторами сетевого оборудования и недооценивать предлагаемые ими возможности, тем более, что разработчики Cisco Systems и Juniper Networks настоятельно рекомендуют их использовать.

Некоторые команды маршрутизаторов Cisco

help – справка по всем командам
setup – запуск мастера конфигурирования маршрутизатора
show config – просмотр текущих настроек
configure terminal – вход в режим настройки хоста
enable [номер уровня] – переход к определенному уровню настроек
hostname Router – вводим имя маршрутизатора
ip http server – запуск веб-интерфейса
ip route 172.1.1.0 255.255.255.0 10.1.1.1 permanent – статический маршрут
clear ip route * – удаление всех маршрутов
show ip route – просмотр маршрутов

Консоль Cisco поддерживает автодополнение с использованием табуляции, поэтому полностью вводить команды не обязательно.

Проекты одной строкой

Network Simulator – симулятор, предназначенный для изучения работы сетевых протоколов и маршрутизации. Опционально включает модуль анимации nam (network animator).

Xentaur – решение для организации сетей, объединяющих реальные устройства, эмуляторы и виртуальные машины Xen.

NetSim – симулятор работы по протоколам нижнего уровня, с 3D визуализацией процессов.

ProfSIMs, RouterSim, CertExams.com – коммерческие симуляторы и визуализаторы, позволяющие подготовиться для сдачи сертификата Cisco.

INFO

С помощью программы Packet Tracert можно строить целые сети между виртуальными офисами.

В Packet Tracert доступны инструменты рисования, которые помогут лучше представить сеть на карте. Так, например, отдельные элементы или группы можно раскрасить разными цветами.

WWW

Сайт проекта Dynagen – dynagen.org

Отличные видеоруководства по работе с Dynamips и Dynagen – blindhog.net

Характеристики IOS устройств Cisco – tools.cisco.com/ITDIT/CFN/Dispatch

Список репозиториев для GNS3 – gpl.code.de/oswiki/GplcodedeApt

Сайт проекта Wireshark – wireshark.org

Некоторое представление по командам IOS можно получить по адресу: http://www.opennet.ru/docs/RUS/cisco_basic

WARNING

Некоторые старые версии IOS не поддерживают команду idlepc.

Перепостинг статьи: http://www.xakep.ru/post/53126/

 

Метки: , , , ,

STP или защита от закольцовки локальной сети.


Иногда случается ситуация, когда народные таланты начинают пакостить в сети, закольцовывая отдельные ее сегменты отдельным кабелем (при топологии типа “звезда”).

Но и от этого есть защита – STP (Spanning Tree Protocol), сетевой протокол, работающий на втором уровне модели OSI. Основан на одноимённом алгоритме, разработчиком которого является «Мама Интернета» — Радья Перлман (англ. Radia Perlman).

Более подробно русскоязычные читатели могут ознакомиться с описанием данного протокола по нижеприведенной ссылке: http://ru.wikipedia.org/wiki/STP

При имении в наличии управляемого сетевого оборудования становится возможным реализация защиты от физической закольцовки в сети.

НО!

Как я уже не раз повторял: “К безопасности в любой вычислительной сети необходимо подходить комплексно! Так как даже при реализации STP есть возможность деструктивного программного воздействия на компьютерную сеть (у каждой палки 2 конца! 😉 )! Не оставляйте дырок компьютерным хулиганам!”

Данная заметка посвящается системным администраторам и инженерам, которые не понимают сути данного протокола, впрочем, также как и моя статья о VLAN.

Мне приходилось встречать на своем жизненном пути таких “ортодоксов”, не приемлющих никаких новшеств и средств защиты. А почему не использовать то, что уже предоставляется бесплатно оборудованием?

 

Метки: , ,

Организация защиты NetBIOS, SMB и выявление злодеев. ;-)


Портами, используемыми NetBIOS, SMB, являются:
138 – NetBIOS Datagram;
137 – NetBIOS Name Resolution;
139 – NetBIOS Session;
445 – SMB.
Данные порты используются также протоколом RPC и различными сетевыми сервисами. Поэтому слудет быть осторожными с блокированием данных портов.
Обращаем внимание на то, что любая сессия начинается с netbios-запроса, задания ip-адреса и определения tcp-порта удаленного объекта, далее следует обмен NETBIOS-сообщениями, после чего сессия закрывается. Сессия осуществляет обмен информацией между двумя netbios-приложениями. Длина сообщения лежит в пределах от 0 до 131071 байт. Допустимо одновременное осуществление нескольких сессий между двумя объектами.
При организации IP-транспорта через NETBIOS IP-дейтограмма вкладывается в NETBIOS-пакет. Информационный обмен происходит в этом случае без установления связи между объектами. Имена Netbios должны содержать в себе IP-адреса. Так часть NETBIOS-адреса может иметь вид, ip.**.**.**.**, где IP указывает на тип операции (IP через Netbios), а **.**.**.** – ip-адрес. Система netbios имеет собственную систему команд (call, listen, hang up, send, receive, session status, reset, cancel, adapter status, unlink, remote program load) и примитивов для работы с дейтограммами (send datagram, send broadcast datagram, receive datagram, receive broadcast datagram). Все оконечные узлы netbios делятся на три типа:
широковещательные (“b”) узлы;
узлы точка-точка (“p”);
узлы смешанного типа (“m”).
IP-адрес может ассоциироваться с одним из указанных типов. B-узлы устанавливают связь со своим партнером посредством широковещательных запросов. P- и M-узлы для этой цели используют netbios сервер имен (NBNS, WINS) и сервер распределения дейтограмм (NBDD, Browser).
Кроме того “обозревателей” сети (браузеров) в локальной сети может быть несколько. Применительно к домену MS Windows одним из обозревателей (браузеров) в локальной сети должен выступать один из контроллеров домена. Но главным обозревателем (мастер броузер) должен быть только один из хостов. Количество браузеров в сети зависит от размеров данной сети.

Итак, прочитав вышеизложенное, возможно сделать следующие умозаключения для защиты сервисов NetBIOS, SMB от злоумышленников:
1. Однозначно прописывать адреса WINS серверов на хостах сети;
2. Жестко прописывать адреса критически важных узллов сети в файлах hosts, lmhosts на хостах сети, чтобы не было искажения (или минимизация искажения) информации в результате спуфинга адресации;
3. Запретить в правилах фильтрации трафика получение пакетов на вышеуказанные порты от недоверенных адресов по протоколу UDP , разрешив при этом получение пакетов на данные порты только с WINS, SMB (SAMBA) серверов, а также задействовать защиту от ARP спуфинга (если эту опцию поддерживает фильтр пакетов);
4. Настроить периодический перезапуск службы NetBIOS с очисткой кеша, для предотвращения отравления кеша службы;
5. Для серверов служб имен можно посоветовать более частое безопасное обновление зон.
6. В правилах фильтрации сетевого фильтра (стороннего) необходимо также задействовать защиту от ARP спуфинга и IP спуфинга.

Это не защитит от наиболее изощеренных методов атак, но абсолютное большинство умельцев отучит от вредительских действий. Оставшаяся часть, продвинутых в данном направлении, пользователей будет уже нам знакома.

Вот такой небольшой план решения большой проблемы. 😉 Удачи вам, читатели, надеюсь данная статья поможет вам бороться со злодеями в локальных сетях.

 

Метки: , , ,

Выявление ARP злодеев в локальной сети.


Довольно часто в локальных сетях предприятий появляются любители пошалить с дублированием ARP адресов. К чему это приводит? Приводит к недоступности части локальной подсети, организованной на свитчах (коммутаторах). Наиболее ощутимый вред наносит дублирование MAC адресов самих коммутаторов, оставляя отключеными от сети всех, кто подключен к скомпроментированному коммутатору. Т. е. возникает ситуация, когда, как иногда говорят, сеть “висит”.
Выявить такого вредителя не так уж и сложно, достаточно установить станцию управления сетью, которая будет нам собирать статистику по протоколу SNMP, причем саму станцию и коммутаторы, которые она мониторит логически выделяем в отдельную подсеть с использованием VLAN. Это необходимо для того, чтобы при любой ситуации (дублирование ARP-адресов) статистика с коммутаторов приходила на станцию управления. Анализируя такую статистику мы сможем найти злоумышленника (порт к кторому подключена машина с дубликатом MAC адреса) по информации об MAC адресах на портах нашего коммутатора.
Отдельного разговора залуживает ARP-спуфинг в локальных сетях, с которым бороться сложно, но отследить нарушителя все равно возможно. Для этого необходимо регулярно использовать анализатор сети, желательно на компьютере, подключенном к ядру сети (центральному коммутатору). При подозрении на ARP-спуфинг делаем фильтрацию по скомпроментированному MAC адресу и смотрим, с какого IP адреса пришел пакет и идем к нарушителю. Но только в том случае, если не использовался при этом специальный генератор пакетов, с помощью которого можно подменить адреса отправителя и получателя (тут, как говорится, уже без вариантов, концов можно и не найти).

 

Метки: ,

Доступ к удаленной сети филиала через VPN.


Не буду лишний раз описывать настройки тех или иных решений на основе VPN (полно в сети), отмечу лишь один важный момент при реализации доступа к сети филиала из подсети головного офиса. А именно, зачастую администраторы забывают прописать дополнительные маршруты на сервере VPN к подсетям филиалов, в результате чего у админов имеется лишь доступ к одной рабочей станции удаленного филиала. Восстановление маршрутов при перезагрузке VPN сервера можно восстанавливать с помощью скриптинга.
Кроме того, зачастую пытаются делать приватные каналы на основе роутеров SOHO класса, не стоит этого делать, т. к. у роутеров такого класса довольно урезанные реализации VPN и имеются баги, поэтому лучше воспользоваться, например, сервером OpenVPND и его клиентом, администрирование существенно упростится и меньше станет зависимым от системного администратора.

 

Метки:

Немного о VLAN.


VLAN – виртуальная локальная сеть. Возможность создания VLAN в локальных и глобальных сетях предоставляет нам активное управляемое сетевое оборудование. Используются VLAN для логического разбиения сетей на отдельные широковещательные домены на аппаратном уровне, для улучшения безопасности сетей, отделения одной части сети от другой, в зависимости от предъявляемых требований технического задания и(или) руководства.
Иногда находятся оппоненты, которые высказываются о том, что данную технологию все меньше и меньше используют, как в локальных, так и в глобальных сетях, ввиду развития технологий по криптозащите передаваемого трафика (IPSec, VPN, Kerberos). Да, данные технологии весьма широко применяются в настоящее время, да имеют высокий уровень защиты для передаваемого трафика, но оппоненты забывают о возможности получения верительных данных вышеназванных технологий, как через инсайдеров, так и через утечки данных, которые происходят из-за воздействия целевых вирусов. А технология VLAN защищена от такого рода утечек, ввиду ее особенностей, что делает её использование целесообразным в средах с повышенными требованиями к уровню защищенности передаваемой информации.
Как всегда скажу, что необходимо искать золотую середину между теми или иными возможностями и осмысленно их комбинировать. Успехов в работе с VLAN! 😉

 

Метки:

База управления информацией (mib).


Довольно часто имеется непонимание того, для чего предназначены базы управления информацией – MIB.
MIB предназначены в первую очередь для увеличения количества информации, которую может выдать станция управления сетью, использующая протокол SNMP для сбора статистики с активного сетевого оборудования, для того управляемого устройства, для которого данная информационная база предназначена и была загружена.
Например, она может дать дополнительную возможность по отслеживанию температуры устройства, расширенной информации о критичных сбоях данного устройства, возможность определения длин кабелей, подключенных к портам, расширить или даже включить возможность не только снятия статистики с управляемого устройства, но и добавить возможность изменения состояния этого устройства. Например, возможность включения или отключения того или иного порта(-ов) устройства по возникновению внутреннего или внешнего события, что является, несомненно, преимуществом при обеспечении информационной безопасности предприятия.

 

Метки: ,

Маркировка кабельной системы локальной сети.


Часто возникает необходимость в проведении маркировки кабельной системы предприятия, т. к. зачастую кабельные сети у нас до сих пор все еще не маркированы и администраторы даже не подозревают где и как проложена кабельная система, что несомненно наносит вред информационной безопасности предприятия и не позволяет оперативно решать те или иные повседневные задачи.
Я опишу наиболее действенный способ маркировки кабельной системы, который был мною реализован с помощью сотрудников ИТ-отдела. У каждого способа есть свои вариации, так что дерзайте! 😉
Итак, вначале необходимо задействовать станцию управления сетью, использующую протокол SNMP для сбора информации с активного сетевого оборудования, о чем мною писалось несколько ранее. Задействование такой станции нам позволит визуально оценить текущую структуру нашей локальной сети и даст представление о том, какой компьютер к какому порту какого коммутатора подключен, а также оценить здоровье сети. Далее берем, чертим таблицы для каждого компутатора, в которых записываем к каким портам данного коммутатора подключен(-ны) тот (те) или иной(-ые) компьютер (-ы). Далее модифицируем коммутацию кабельной системы нужным нам, предварительно согласованным с руководством, образом. В том случае, если к какому-либо порту коммутатора подключен(-ы) еще неуправляемые коммутаторы и нет возможности оценить разводку кабельной системы с помощью тестера сети, рекомендую задействовать дополнительный управляемый коммутатор, который временно включается взамен неуправляемого и с него снимаем дополнительную информацию станцией управления.
Если нет возможности выяснить пути прокладки кабеля визульными методами, то имеется возможность выявить данный кабель по кабельной маркировке, а именно, по маркировке производителя (уникальна для каждой бухты кабеля), а также по маркерам метража кабеля. Отмечаем себе маркировку производителя и метраж кабеля, а дальше ище по кабельканалам нужный нам кабель и смотрим как он проложен.
И, конечно же, используем кабельные тестеры для контроля разводки. Для связи с помощниками во время проведения такой маркировки удобно использовать обыкновенные туристические рации.
Маркировку коммутаторов, портов коммутаторов и розеток лучше всего производить по заранее оговоренному числовому или буквенно-числовому коду. И не забываем записывать все производимые изменения в наши таблицы (что, куда и как перекоммутировали). После полной перекоммутации составляем чистовые таблицы (разводку) нашей кабельной системы. Затем с помощью станции управления сетью еще раз сверяем наши таблицы с реальной структурой сети, выдаваемой станцией управления.
Все! Теперь вы и сотрудники ИТ-отдела знаете, куда и как идет тот или иной кабель на вашем предприятии. А это дает возможность заняться непосредственно улучшением здоровья вашей локальной сети на основании статистики, собираемой станцией управления сетью. Например, на основании большого количества потерянных пакетов на том или ином порту коммутаора можно сделать вывод о том, что что-то не в порядке у цепочки адптер-кабель-порт. И не забываем использовать кабельные тестеры для проверки таких цепочек, желательно умеющие определять длину кабеля, т. к. большое количество потерянных пакетов может говорить и об излишне длинном кабеле. SNMP также предоставляет оценить приблизительную длину кабеля от порта коммутатора до адаптера, но для этого, зачастую, требуется подгрузка соответствующей mib для данного управляемого активного сетевого оборудования.
Удачи вам! 😉

 

Метки: , ,

Использование динамической адресации (DHCP/D/).


Использование динамической адресации в домене MS Windows и сетях Linux дает улучшение общей управляемостью в сети, т. к. отпадает необходимость в дополнительных издержках, например, при смене адресации. Но при этом следует учесть и требования безопасности, налагаемые на задействование DCHP адресации. А именно, крайне желательно иметь активное сетевое управляемое оборудование, которое позволяет автоматически переадресовывать DHCP запросы непосредственно на легальный сервер DHCP, это так называемая функция DHCP redirect у управляемых коммутаторов. Задействование данной функции позволит минимизировать негативные последствия в случае появления в сети ложного DHCP сервера. Кроме того, следует запретить получение данных для DHCP клиентов и сервера (-ов) от нелегитимных источников (IP адресов), для чего можно воспользоваться средствами фильтрации трафика IPSec/iptables по портам для клиентов DHCP и серверов DHCP. От пролучения пакетов, созданных генераторами пакетов это не защитит, при умелой генерации, но таких профессионалов среди народных умельцев, как правило, не наблюдается в локальных сетях. Но и от этой напасти есть весьма простой и действенный способ – всегда имеется возможность перезапустить службу DHCP. Еще больше усилит безопасность клиентов и серверов при динамической адресации использование возможностей изоляции доменов для сетей Windows и аналогичные возможности IpSec в сетях Linux. В этом случае извне никто не сможет нарушить сетевую безопасность, просто подключившись к локальной сети организации. А вычисление народных умельцев, которые хулиганят в рабочее время, станет лишь делом техники, а точнее умелого использования сочетания средств управления сетью и средств мониторинга сети.

 

Метки: , , ,