Типы уязвимостей

Уязвимость — степень незащищенности, присущая каждой сети и устройству, включая маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности.

Три основных типа уязвимостей: технологические, конфигурационные и уязвимости политики безопасности.

⏺Технологические уязвимости

• Уязвимости протоколов TCP/IP: Протоколы HTTP, FTP и ICMP ненадежны. SNMP и SMTP имеют небезопасную структуру.

• Уязвимости операционных систем: Все операционные системы, такие как UNIX, Linux, Mac OS, Windows Server 2012, Windows 7, Windows 8, имеют проблемы безопасности, задокументированные в архивах CERT.

• Уязвимости сетевого оборудования: Маршрутизаторы, брандмауэры и коммутаторы имеют недостатки безопасности, такие как слабая защита паролем и отсутствие аутентификации.

⏺Конфигурационные уязвимости

• Незащищенные учетные записи пользователей: Информация может передаваться небезопасно, подвергая риску имена пользователей и пароли.

• Пароли, которые легко подобрать: Неграмотно выбранные пароли легко взломать.

• Ошибки в конфигурации интернет-служб: Неправильные настройки JavaScript, терминальных служб, FTP или веб-серверов создают уязвимости.

• Незащищенные настройки по умолчанию: Настройки по умолчанию могут стать источником проблем с безопасностью.

• Ошибки в конфигурации сетевого оборудования: Неправильные списки доступа, протоколы маршрутизации или пароли SNMP создают дыры в безопасности.

⏺Уязвимости политики безопасности

• Отсутствие утвержденной политики безопасности: Без утвержденной политики невозможно обеспечить ее соблюдение.

• Конфликты политик безопасности: Сложности в согласованном применении политик.

• Отсутствие непрерывной аутентификации: Слабые пароли или использование паролей по умолчанию приводят к несанкционированному доступу.

• Не применяются логические элементы управления доступом: Плохой мониторинг и учет позволяют атаки и несанкционированное использование ресурсов.

• Несоответствие установки и модификации оборудования политике безопасности: Несанкционированные изменения топологии сети создают проблемы безопасности.

• Отсутствие плана аварийного восстановления: Атаки без плана восстановления приводят к хаосу и панике.

N.A. ℹ️ Help

Протоколы группы FHRP (First Hop Redundancy Protocols)

Протоколы группы FHRP предназначены для обеспечения высокой доступности и отказоустойчивости первого шага (first hop) в сетях, использующих маршрутизацию по умолчанию.

Они обеспечивают управление виртуальным IP-адресом, который может переходить с одного активного маршрутизатора на другой в случае отказа.

Рассмотрим основные протоколы этой группы: HSRP, VRRP и GLBP.

1️⃣ HSRP (Hot Standby Router Protocol)

HSRP является протоколом Cisco, предназначенным для обеспечения резервирования первого шага. 

Он позволяет группе маршрутизаторов выбрать один активный маршрутизатор и несколько резервных (standby) маршрутизаторов.

Активный маршрутизатор выполняет пересылку пакетов для виртуального IP-адреса, в то время как резервные маршрутизаторы остаются в готовности, ожидая перехода в активное состояние при отказе текущего активного маршрутизатора.

⏺Используется в средах Cisco для обеспечения отказоустойчивости шлюза по умолчанию.

⏺Поддерживает только один активный маршрутизатор, что может быть недостаточно для некоторых требований масштабируемости.

2️⃣ VRRP (Virtual Router Redundancy Protocol)

VRRP — это открытый стандартный протокол, который выполняет функции, аналогичные HSRP. 

Он позволяет нескольким маршрутизаторам объединиться в группу и выбрать один из них в качестве виртуального маршрутизатора.

Виртуальный маршрутизатор имеет свой собственный виртуальный IP-адрес, который перенаправляется на текущий активный маршрутизатор в группе.

⏺Широко используется в различных сетевых устройствах и операционных системах для обеспечения отказоустойчивости шлюза.

⏺Поддерживает концепцию мастер-соединения (master election), что позволяет легко масштабировать сеть с большим количеством маршрутизаторов.

3️⃣ GLBP (Gateway Load Balancing Protocol)

GLBP является проприетарным протоколом Cisco, который расширяет функциональность HSRP и VRRP.

Тем самым протокол позволяет активным маршрутизаторам распределять нагрузку между собой.

В GLBP несколько маршрутизаторов могут быть активными и выполнять балансировку нагрузки между собой, обеспечивая высокую доступность и использование ресурсов.

⏺Идеально подходит для сетей с высокой нагрузкой, где требуется равномерное распределение трафика между несколькими шлюзами.

⏺Поддерживает не только отказоустойчивость, но и улучшенную производительность сети за счет балансировки нагрузки.

N.A. ℹ️ Help

Протокол VXLAN (Virtual Extensible LAN)

Virtual Extensible LAN (VXLAN) — это сетевой туннельный протокол, разработанный для создания логически изолированных виртуальных сетей поверх существующей физической инфраструктуры.

Основные особенности и применение

⏺Расширение пространства VLAN: Традиционные VLAN ограничены 4096 уникальными идентификаторами (VLAN ID). VXLAN расширяет это пространство до 16 миллионов уникальных сегментов, что делает его подходящим для масштабных сетей и облачных сред, где требуется большое количество изолированных виртуальных сетей.

⏺Масштабируемость и гибкость: VXLAN использует туннельный механизм поверх существующей IP-сети (обычно IPv4), что позволяет легко масштабировать сеть без изменения физической инфраструктуры. Это особенно полезно для дата-центров, где требуется быстрое и гибкое развертывание виртуальных сетей.

⏺Поддержка мультикаста и широковещания: VXLAN поддерживает передачу мультикастового и широковещательного трафика, что необходимо для многих сетевых служб и протоколов. Это делает VXLAN подходящим выбором для виртуализованных сред, требующих передачи таких типов трафика.

Пример настройки VXLAN:

Рассмотрим пример настройки VXLAN-туннеля между двумя коммутаторами.

На коммутаторе A:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.2

На коммутаторе B:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.1

В этом примере IP-адреса 192.168.1.1 и 192.168.1.2 являются адресами исходных интерфейсов коммутаторов.

⚡️Используемый VNI (VXLAN Network Identifier) равен 5000, что позволяет идентифицировать виртуальную сеть.

Как мониторить SD-WAN

Реализация SD-WAN требует тщательного мониторинга сети. 

В этом посте мы рассмотрим ключевые проблемы SD-WAN и как мониторинг сети может помочь их преодолеть.

Исправление пути и аварийное переключение

SD-WAN автоматически корректирует пути и переключает трафик в случае аварии.

При наличии нескольких соединений (MPLS, широкополосное, LTE) маршрутизатор может перенаправлять трафик, обеспечивая надежность и качество.

Например, если один канал испытывает высокие задержки, маршрутизатор может использовать другой канал. 

Однако это может снизить общую производительность, особенно при дублировании пакетов.

Мониторинг помогает выявлять такие проблемы, предоставляя информацию о задержках, потере пакетов и полосе пропускания.

Сквозные сетевые тесты

Для эффективного устранения проблем важны сквозные сетевые тесты, которые включают:

• Задержка и потеря пакетов (пинг по ICMP или TCP)
• Джиттер для голосовой и видеосвязи (UDP iperf)
• Количество сетевых скачков и изменений пути (traceroute)
• Пропускная способность (iperf, NDT, speedtest)

Инструмент мониторинга должен учитывать весь путь трафика от пользователя до конечного пункта.

Решение включает активные агенты мониторинга, которые устанавливаются на периферии и собирают данные в реальном времени для анализа.

Мониторинг взаимодействия с конечным пользователем

Мониторинг взаимодействия с конечным пользователем включает:

• Время разрешения DNS
• Время загрузки HTTP
• Средняя оценка мнения (MOS) для VoIP
• Показатели производительности WiFi

Объединение активных и пассивных данных позволяет получить полное представление о производительности сети. 

Активные данные полезны для упреждающих предупреждений, а пассивные данные показывают использование полосы пропускания и производительность приложений.

⚡️Это помогает быстро решать проблемы, повышать производительность и удовлетворенность пользователей.

N.A. ℹ️ Help

Физическая защита

Не меньшее значение имеет физическая безопасность устройств. 

Злоумышленник может блокировать доступ к сетевым ресурсам, если их можно повредить на физическом уровне.

Имеется четыре класса угроз:

1️⃣ Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабельных линий и рабочих станций.

2️⃣ Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая).

3️⃣ Электрические угрозы — всплески напряжения, недостаточное напряжение в электрической сети (провалы напряжения), колебания напряжения (шум) и полное отключение электропитания.

4️⃣ Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и ненадлежащая маркировка.

Хороший план физической безопасности должен быть создан и реализован для решения этих проблем.
Планирование физической системы безопасности в целях ограничения ущерба для оборудования.

⏺Поэтажный план безопасного компьютерного зала
⏺Планирование физической системы безопасности в целях ограничения ущерба для оборудования

Шаг 1. Блокирование оборудования и предотвращение несанкционированного доступа через двери, потолок, съемный пол, окна, вентиляционные и канализационные шахты
Шаг 2. Мониторинг и управление доступом к серверному шкафу с помощью электронной системы учета
Шаг 3. Использование камер системы безопасности

N.A. ℹ️ Help

Активация подключения по SSH на устройствах Cisco

Telnet упрощает удаленный доступ к устройствам, но не является безопасным, поскольку данные передаются в незашифрованном виде.

Для обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать протокол SSH. 

Настройка SSH на устройствах Cisco выполняется в несколько этапов.

1️⃣ Настройка уникального имени хоста

Для начала задайте уникальное имя хоста для устройства, чтобы оно отличалось от имени по умолчанию:

Router(config)# hostname R1

2️⃣ Настройка имени IP-домена

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации:

R1(config)# ip domain name span.com

3️⃣ Генерация ключа для шифрования трафика SSH

SSH шифрует трафик между источником и получателем. Для этого необходимо создать уникальный ключ проверки подлинности:

R1(config)# crypto key generate rsa general-keys modulus 1024

В данном случае, размер ключа составляет 1024 бита. Чем больше значение бит, тем безопаснее ключ, но большее значение также требует больше времени для шифрования и расшифровки информации.

Минимальная рекомендуемая длина модуля — 1024 бит.

4️⃣ Создание записи в локальной базе данных

Создайте учетную запись пользователя в локальной базе данных:

R1(config)# username Bob secret cisco

Параметр secret используется для шифрования пароля с помощью MD5.

5️⃣ Аутентификация против локальной базы данных

Настройте строки vty для проверки подлинности в локальной базе данных:

R1(config)# line vty 0 4
R1(config-line)# login local

6️⃣ Включение входящих SSH-сеансов на линиях vty

Разрешите входящие SSH-сеансы на линиях vty:

R1(config-line)# transport input ssh

Теперь устройство настроено на использование SSH для безопасного удаленного доступа. Ниже представлен полный пример конфигурации:

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

⚡️Эти шаги позволят вам настроить безопасное подключение по SSH на устройстве Cisco, обеспечивая шифрование и надежность передачи данных.

N.A. ℹ️ Help

Отключите неиспользуемые службы

Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети.

Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками.

Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP.

Это можно проверить с помощью команды show ip ports all, как показано в примере.

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#



В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports.

Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны.

Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet.

Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации.

Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.

Router# 

show control-plane host open-ports

Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 tcp                 *:80                  *:0                HTTP CORE   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN
Router# configure terminal
Router(config)# 

no ip http server

Router(config)# 

line vty 0 15

Router(config-line)# 

transport input ssh

N.A. ℹ️ Help

Резервирование в небольшой сети

Обеспечение надежности сети — важный аспект при ее проектировании, особенно для малых предприятий, где сбой в работе сети может привести к значительным затратам.

Чтобы минимизировать риски и повысить надежность, необходимо предусмотреть резервирование, которое позволяет устранить единые точки отказа.

Способы резервирования

Резервирование в сети может осуществляться различными способами, включая резервное оборудование и резервные сетевые каналы на критически важных участках.

На схеме показаны следующие уровни резервирования:

⏺Резервные серверы: В случае сбоя сервера доступны резервные серверы, обеспечивающие непрерывность работы приложений и служб.

⏺Резервные связи: Каждый сервер имеет два подключения, ведущих к двум коммутаторам, что обеспечивает альтернативные пути в случае сбоя основного канала.

⏺Резервные коммутаторы: Два коммутатора подключены друг к другу и к серверам, обеспечивая резервирование на уровне коммутации.

⏺Резервные маршрутизаторы: Два маршрутизатора соединены друг с другом и с коммутаторами, предоставляя резервные маршруты и защищая сеть от сбоев маршрутизаторов.

Рекомендации для малых сетей

В небольших сетях часто имеется единая точка выхода в Интернет через один или несколько шлюзов по умолчанию.

Однако сбой в работе маршрутизатора может оставить всю сеть без подключения к Интернету. 

Для повышения надежности малым предприятиям рекомендуется приобрести пакет услуг у другого провайдера в качестве резервного соединения.

☄️ Это обеспечит дополнительный уровень безопасности и позволит сохранить доступ к критически важным ресурсам в случае сбоя основного провайдера.

N.A. ℹ️ Help

Протокол IS-IS

IS-IS (Intermediate System to Intermediate System) — это протокол внутренней маршрутизации (IGP), используемый для передачи маршрутов между маршрутизаторами в пределах одной автономной системы.

Он был разработан в 1980-х годах и является одним из ключевых протоколов в сетях больших операторов и провайдеров.

Преимущества IS-IS по сравнению с другими маршрутизирующими протоколами, такими как OSPF:

⏺Масштабируемость: IS-IS лучше справляется с масштабируемостью в больших сетях. Он способен поддерживать более крупные топологии с меньшим количеством проблем по сравнению с OSPF.

⏺Простота расширения для IPv6: В отличие от OSPF, который имеет отдельные версии для IPv4 и IPv6, IS-IS легко расширяется для поддержки IPv6 без необходимости создавать отдельный протокол.

⏺Отсутствие зависимости от IP-адресов: IS-IS работает на канальном уровне (L2) и не зависит от IP-адресов, что упрощает управление и конфигурирование в некоторых случаях.

⏺Гибкость в структуре сети: IS-IS может быть легко интегрирован в любые сетевые архитектуры, что делает его более универсальным в использовании.

Настройка IS-IS на маршрутизаторах и коммутаторах

Для настройки IS-IS на маршрутизаторах и коммутаторах Cisco следует выполнить следующие шаги

Активировать IS-IS и задать имя процесса:

Router(config)# router isis
Router(config-router)# net 49.0001.1921.6800.1001.00

Настроить IS-IS на интерфейсах:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip router isis
Router(config-if)# isis network point-to-point

Установить метрику для интерфейсов (по желанию):

Router(config-if)# isis metric 10

Активировать IS-IS для IPv6 (если необходимо):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ipv6 router isis

Пример конфигурации для маршрутизатора R1:

Router# configure terminal
Router(config)# hostname R1
R1(config)# router isis
R1(config-router)# net 49.0001.1921.6800.1001.00
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit

Проверка работы IS-IS

Для проверки корректной работы протокола IS-IS можно использовать следующие команды

Проверка таблицы маршрутизации IS-IS:

Router# show isis route

Просмотр соседей IS-IS:

Router# show isis neighbors

Просмотр базы данных IS-IS:

Router# show isis database

⚡️ Эти команды помогут убедиться, что IS-IS настроен правильно и работает в соответствии с ожиданиями, обеспечивая маршрутизацию в вашей сети.

Расширенная команда ping в Cisco IOS

Команда ping — это основной инструмент для проверки сетевой связи. 

В стандартном режиме она использует ближайший к цели интерфейс в качестве источника, что подходит для простых проверок.

Но что делать, если требуется более точная диагностика?

Стандартный ping

Когда вы выполняете стандартный ping, устройство использует IP-адрес ближайшего к цели интерфейса в качестве источника.

Например, если маршрутизатор R1 имеет интерфейсы G0/0/0 с IP-адресом 209.165.200.225 и G0/0/1 с IP-адресом 192.168.10.1, при выполнении команды ping 10.1.1.10 на R1 будет использоваться IP-адрес 209.165.200.225 в качестве источника пакетов.

Это удобно для большинства базовых проверок, но иногда нужно больше гибкости.

Расширенный ping

В Cisco IOS существует возможность использовать команду ping в расширенном режиме.

Этот режим позволяет настраивать различные параметры команды для создания специализированных запросов ping. 

Для перехода в этот режим введите команду ping в привилегированном режиме EXEC без указания IP-адреса назначения.

Далее вам будет предложено несколько подсказок для настройки расширенного режима ping.

Вот как это работает:

1️⃣ Введите ping в привилегированном режиме EXEC.

2️⃣ Система предложит ввести различные параметры, такие как целевой IP-адрес, количество повторений, размер датаграммы и другие.

3️⃣ Один из ключевых параметров — это IP-адрес источника. Вы можете указать конкретный IP-адрес или интерфейс, который будет использоваться для отправки ICMP эхо-запросов.

Пример настройки расширенного ping:

R1# ping
Protocol [ip]:
Target IP address: 10.1.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Ingress ping [n]:
Source address or interface: 192.168.10.1
DSCP Value [0]:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0x0000ABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#

Этот пример показывает, как можно настроить расширенный ping для использования IP-адреса источника 192.168.10.1.

🔥 Расширенный ping предоставляет более точную диагностику и помогает в выявлении проблем в сети, которые стандартный ping может пропустить.

N.A. ℹ️ Help

Базовый уровень сети

Одним из наиболее эффективных инструментов мониторинга и устранения неполадок с производительностью сети является определение базового уровня сети.

Эффективный базовый уровень производительности сети создается за определенный период времени.

Измерение производительности за различные периоды и с изменяемыми нагрузками позволяет составить более точную картину общей производительности сети.

Создание базового уровня

Выходные данные, полученные в результате использования сетевых команд, предоставляют данные для внесения в базовый уровень сети. 

Одним из способов создания базового уровня является копирование и вставка результатов выполнения команды ping, trace или любой другой соответствующей команды в текстовый файл.

В такие текстовые файлы можно добавить метку времени и дату, а затем сохранить их в архив для дальнейшего использования и сравнения.

Ключевые показатели

При создании базового уровня следует рассмотреть такие объекты, как сообщения об ошибках и значения времени отклика между узлами.

В случае значительного увеличения времени отклика может возникнуть проблема, связанная с задержкой.

👀 В следующем посте разберем на примерах

N.A. ℹ️ Help

Базовый уровень сети на практике

Продолжаем разбирать понятие базового уровня сети и сегодня разберем задержки.

Пример анализа данных ping

Например, следующий ping вывод был захвачен и вставлен в текстовый файл.

August 19, 2019 at 08:14:43

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC-A>

Обратите внимание, что время ping передачи в оба конца меньше 1 мс.

Через месяц пинг повторяется и захватывается.

September 19, 2019 at 10:18:21

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=50ms TTL=64
Reply from 10.1.1.10: bytes=32 time=49ms TTL=64
Reply from 10.1.1.10: bytes=32 time=46ms TTL=64
Reply from 10.1.1.10: bytes=32 time=47ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 46ms, Maximum = 50ms, Average = 48ms
C:\Users\PC-A>

⚡️ Обратите внимание на этот раз, что в команде ping время передачи в оба конца намного больше, что указывает на потенциальную проблему.

N.A. ℹ️ Help

Анализ протоколов

По мере роста сети становится важным определить, как управлять сетевым трафиком. 

Понимание типа и потока трафика, проходящего по сети, является ключевым для ее эффективного функционирования.

Для этого можно использовать различные инструменты управления сетью, одним из которых является анализатор протоколов, такой как Wireshark.

Пример использования Wireshark

Запуск Wireshark на нескольких ключевых узлах может выявить типы сетевого трафика, проходящего через сеть.

Например, статистика иерархии протоколов Wireshark для узла Windows в небольшой сети показывает, что хост использует протоколы IPv6 и IPv4.

В данных IPv4 видно, что хост использовал DNS, SSL, HTTP, ICMP и другие протоколы.

Рекомендации по захвату трафика

Чтобы определить характерные потоки трафика, важно:

Захватывать трафик в периоды пиковой нагрузки для получения надлежащего представления о различных типах трафика.

Выполнять захват в различных сегментах сети, так как некоторые типы трафика могут быть ограничены определенными сегментами.

Анализ и использование данных

Информация, собранная анализатором протоколов, оценивается на основе данных об источнике и получателе трафика, а также типа отправляемого трафика.

Результаты анализа можно использовать для принятия решений об эффективном управлении трафиком, например, путем уменьшения ненужных потоков или изменения режима потоков, перемещая сервер или службу в другой сегмент сети.

В отдельных случаях достаточно просто переместить сервер или службу, чтобы повысить производительность сети. 

🔥 В других случаях для оптимизации производительности может потребоваться серьезное вмешательство и перепроектирование сети.

N.A. ℹ️ Help

Команда arp

Команда arp выполняется из командной строки Windows, Linux или Mac. 

Команда arp –a позволяет получить список всех устройств, которые в данный момент представлены в ARP-кэше узла, а также IPv4-адрес, физический адрес и тип адресации (статическая/динамическая) для каждого из устройств.

Например, обратимся к топологии на фото выше.

Вывод команды arp -a на узле Windows PC-A.

C:\Users\PC-A> 

arp -a

Interface: 192.168.93.175 --- 0xc
  Internet Address      Physical Address      Type
  10.0.0.2              d0-67-e5-b6-56-4b     dynamic
  10.0.0.3              78-48-59-e3-b4-01     dynamic
  10.0.0.4              00-21-b6-00-16-97     dynamic
  10.0.0.254            00-15-99-cd-38-d9     dynamic



Команда arp -a отображает связку известных IP-адресов и MAC-адресов. Обратите внимание, что IP-адрес 10.0.0.5 не включен в список.

Это связано с тем, что кэш ARP отображает информацию только с устройств, к которым недавно обращались.

Чтобы проверить заполнение кэша ARP, выполните команду ping для проверки связи с устройством, чтобы для него была создана запись в таблице ARP.

Например, если PC-A посылает запрос 10.0.0.5, то кэш ARP будет содержать запись для этого IP-адреса.

Если администратору сети необходимо повторно заполнить кэш обновленными данными, можно выполнить команду netsh interface ip delete arpcache для очистки кэша.

⚡️ Для использования команды netsh interface ip delete arpcache может потребоваться доступ администратора на хосте.

N.A. ℹ️ Help

Единица данных протокола (PDU)

По мере того как данные приложений передаются по стеку протоколов до перемещения через средство сетевого подключения, различные протоколы добавляют в них информацию на каждом из уровней.

Это называется процессом инкапсуляции.

Хотя PDU UDP называется датаграммой, IP-пакеты иногда также называются IP-датаграммами.

Форма, которую принимает массив данных на каждом из уровней, называется единицей данных протокола (PDU).

В ходе инкапсуляции каждый последующий уровень инкапсулирует PDU, полученную от вышестоящего уровня в соответствии с используемым протоколом.

На каждом этапе процесса PDU получает другое имя, отражающее новые функции.

Универсальной схемы именования для PDU нет, и в этом курсе PDU называются в соответствии с терминологией набора протоколов TCP/IP, как показано на рисунке.

PDU для каждой формы данных показаны на рисунке.

⏺Данные — общий термин для обозначения PDU, используемой на уровне приложений
⏺Сегмент — PDU транспортного уровня
⏺Пакет — PDU сетевого уровня
⏺Кадр — PDU канального уровня
⏺Биты — PDU физического уровня

N.A. ℹ️ Help

Минимизация неиспользуемых адресов IPv4 узлов и максимизация подсетей

Чтобы свести к минимуму число неиспользуемых адресов IPv4 узлов и максимизировать количество доступных подсетей, при планировании подсетей необходимо учитывать два фактора: количество адресов узлов, необходимых для каждой сети, и количество необходимых отдельных подсетей.

Основные шаги:

1️⃣ Определите количество устройств (узлов) и подсетей.

2️⃣ Выберите соответствующую маску подсети на основании количества узлов и подсетей.

3️⃣ Рассчитайте количество доступных адресов узлов в каждой подсети (2^n-2).

4️⃣ Назначьте диапазоны адресов для каждой подсети, избегая пересечений и неиспользуемых адресов.

Пример: Если у вас сеть с префиксом /24 и нужно создать 4 подсети, заимствуйте 2 бита для подсетей (4 = 2^2), оставив 6 бит для узлов (8 - 2 = 6).

• Маска подсети: /26 (255.255.255.192)
• Количество подсетей: 4
• Количество узлов на подсеть: 62 (2^6 - 2)

Подсчет адресов в подсетях /24:

/25: Маска подсети 255.255.255.128
Подсетей: 2
Узлов в подсети: 126

/26: Маска подсети 255.255.255.192
Подсетей: 4
Узлов в подсети: 62

/27: Маска подсети 255.255.255.224
Подсетей: 8
Узлов в подсети: 30

/28: Маска подсети 255.255.255.240
Подсетей: 16
Узлов в подсети: 14

/29: Маска подсети 255.255.255.248
Подсетей: 32
Узлов в подсети: 6

/30: Маска подсети 255.255.255.252
Подсетей: 64
Узлов в подсети: 2

⚡️ Правильное планирование сетевой адресации позволяет эффективно использовать доступные IPv4 адреса, минимизируя неиспользуемые адреса узлов и максимизируя количество доступных подсетей.

N.A. ℹ️ Help

Структура GUA IPv6

⏺Префикс глобальной маршрутизации

Префикс глобальной маршрутизации — это часть IPv6-адреса, назначаемая интернет-провайдером заказчику или узлу. 

Обычно провайдеры назначают своим клиентам префикс глобальной маршрутизации /48, что является наиболее распространенной практикой.

Например, IPv6-адрес 2001:0DB8:ACAD::/48 имеет префикс глобальной маршрутизации, где первые 48 бит (2001:0DB8
) обозначают сетевую часть адреса.

Двойное двоеточие (::) указывает на оставшуюся часть адреса, состоящую из нулей.

Размер префикса глобальной маршрутизации определяет размер идентификатора подсети.

⏺Идентификатор подсети

Поле идентификатора подсети находится между префиксом глобальной маршрутизации и идентификатором интерфейса. 

В IPv6 идентификатор подсети используется для обозначения подсетей внутри организации, упрощая управление сетью по сравнению с IPv4.

Чем больше значение идентификатора подсети, тем больше доступных подсетей.

Например, организация, получившая префикс глобальной маршрутизации /32 и использующая /64 для идентификатора интерфейса, имеет 32 бита для идентификатора подсети.

Это позволяет создать 4,3 миллиарда подсетей, каждая из которых может содержать до 18 квинтиллионов устройств.

⏺Идентификатор интерфейса

Идентификатор интерфейса в IPv6-адресе эквивалентен узловой части IPv4-адреса.

Этот термин используется, когда один узел имеет несколько интерфейсов с одним или несколькими IPv6-адресами. 

В большинстве случаев рекомендуется использовать /64 подсети, создавая 64-битный идентификатор интерфейса, который позволяет иметь до 18 квинтиллионов устройств в подсети.

Подсеть /64 упрощает разработку адресного плана и позволяет устройствам автоматически генерировать свои идентификаторы интерфейса с помощью SLAAC.

В IPv6 устройству можно назначить адрес узла, состоящий из одних 0 или 1, что невозможно в IPv4.

N.A. ℹ️ Help

Локальный IPv6-адрес канала

Локальный IPv6-адрес канала (LLA) позволяет устройствам обмениваться данными с другими устройствами с поддержкой IPv6 в той же подсети (канале).

Пакеты с локальным адресом канала источника или назначения не могут быть направлены за пределы канала, в котором они создаются. 

GUA (глобальный уникальный адрес) не является обязательным, однако каждый сетевой интерфейс с поддержкой IPv6 должен иметь LLA.

Если локальный адрес канала не настроен вручную, устройство автоматически создает его самостоятельно, без обращения к DHCP-серверу.

Узлы под управлением IPv6 создают локальный IPv6-адрес канала даже при отсутствии глобального индивидуального IPv6-адреса, что позволяет им обмениваться данными с другими устройствами в той же подсети, включая шлюз по умолчанию (маршрутизатор).

Диапазон локальных IPv6-адресов канала — fe80::/10. Значение первого гекстета варьируется от fe80 до febf.

Обмен данными между локальными IPv6-адресами канала

На следующем рисунке показаны примеры использования локальных IPv6-адресов канала (LLA) для связи.

Компьютер может напрямую взаимодействовать с принтером с помощью LLA:

⏺fe80::bbbb/64
⏺fe80::cccc/64
⏺fe80::dddd/64
⏺fe80::1/64
⏺fe80::aaaa/64

Обмен данными между локальными IPv6-адресами канала не маршрутизируется за пределы сети.

Маршрутизаторы используют LLA соседних маршрутизаторов для отправки обновлений маршрутизации, а узлы используют LLA локального маршрутизатора в качестве шлюза по умолчанию.

В качестве шлюза по умолчанию для других устройств в канале обычно используется локальный адрес канала маршрутизатора.

Способы получения локальных IPv6-адресов канала:

⏺Статически — устройство настраивается вручную.
⏺Динамически — устройство создает свой собственный идентификатор интерфейса, используя случайно сгенерированные значения или метод Extended Unique Identifier (EUI), который использует MAC-адрес клиента вместе с дополнительными битами.

🔥 LLA обеспечивает критически важную возможность взаимодействия устройств внутри одной подсети, что является основой эффективного сетевого взаимодействия и управления.

N.A. ℹ️ Help

Основы IPv4 Access Control Lists

⏺Списки управления доступом IPv4 (ACL):

IPv4 Access Control Lists (ACL) позволяют сетевым администраторам задавать правила фильтрации трафика на маршрутизаторах.

Эти списки используются для определения, какие пакеты разрешены к прохождению через маршрутизатор, а какие должны быть отброшены.

ACL могут применяться как к входящим, так и к исходящим потокам данных на каждом интерфейсе маршрутизатора.

⏺Стандартные нумерованные списки ACL

Стандартные нумерованные списки ACL используют простую логику: они сопоставляют пакеты только по IP-адресу источника. 

Этот тип ACL является базовым и используется для фильтрации трафика на основе IP-адресов.

Нумерованные списки ACL ссылаются на правила с помощью номера, что упрощает их конфигурацию и управление.

⏺Основные функции Access Control Lists IPv4

1️⃣ Идентификация пакетов: ACL позволяют системным администраторам идентифицировать различные типы пакетов на основе значений, содержащихся в заголовках IP, TCP, UDP и других протоколов. Например, ACL могут фильтровать пакеты с определенными исходными или целевыми IP-адресами или портами назначения.

2️⃣ Фильтрация пакетов: Основное использование ACL в маршрутизаторах Cisco – это фильтрация пакетов. Маршрутизатор анализирует каждый входящий или исходящий пакет, сравнивая его с правилами ACL, чтобы определить, должен ли пакет быть пропущен или отброшен.

3️⃣ Качество обслуживания (QoS): ACL также могут использоваться для применения функций качества обслуживания. QoS позволяет маршрутизатору предоставлять различным типам трафика приоритетное обслуживание, что особенно важно для чувствительных к задержке приложений, таких как голосовые и видеопотоки.

⏺Размещение и направление ACL

Маршрутизаторы Cisco могут применять ACL к пакетам в точках входа или выхода из интерфейсов.

Это позволяет настраивать фильтрацию трафика на различных этапах его прохождения через сеть.

Например, ACL могут применяться к входящему трафику до того, как маршрутизатор примет решение о его пересылке, или к исходящему трафику после принятия решения о пересылке.

⏺Пример настройки ACL

Представьте ситуацию, в которой нужно разрешить отправку пакетов от одного хоста (A) к серверу (S1), но заблокировать отправку пакетов от другого хоста (B) к тому же серверу.

Для этого необходимо настроить ACL на интерфейсах маршрутизаторов, через которые проходит трафик от хоста B к серверу S1. 

Включение ACL на правильных интерфейсах и в правильном направлении позволяет эффективно управлять трафиком и защищать сеть от нежелательных пакетов.

N.A. ℹ️ Help

Знакомство с QUIC

QUIC (Quick UDP Internet Connections) – это новый транспортный протокол, разработанный Джимом Роскиндом в 2012 году.

Основная цель QUIC – ускорить передачу данных в стабильных высокоскоростных сетях.

Ключевые особенности QUIC

1️⃣ Сокращение рукопожатия:

QUIC сокращает трехстороннее рукопожатие до одного пакета (нулевое рукопожатие), что значительно ускоряет установку соединений.
Это достигается за счет уменьшения количества циклов обмена между отправителем и получателем.

2️⃣ Уменьшение повторных передач:

Использование Forward Error Correction (FEC) позволяет восстанавливать поврежденные данные без необходимости повторной передачи. Отрицательные подтверждения (NACK) и управление окном предотвращения перегрузки CUBIC также способствуют снижению числа повторных передач.

Процесс установления соединения в QUIC

Процесс установления соединения в QUIC включает серию криптографических ключей и хэшей:

⏺Приветствие клиента (CHLO): Клиент отправляет серверу приветствие, содержащее требование подтверждения, набор сертификатов и хэш сертификата. Поле маркера адреса источника (STK) остается пустым при первом контакте.

⏺Ответ сервера (REJ): Сервер создает STK на основе предоставленной информации и отправляет его клиенту.

⏺Подтверждение клиента: Клиент включает полученный STK в последующие пакеты приветствия. Если STK совпадает, сервер принимает приветствие.

Пара IP-адрес / STK может быть подменена злоумышленником, что является известной проблемой в QUIC и рассматривается в документации протокола.

Сокращение времени установления соединения

TCP требует как минимум полутора rtt для создания нового сеанса через SYN, SYN-ACK и ACK. QUIC уменьшает это до одного rtt.

Это особенно важно для веб-страниц и мобильных приложений, которые должны подключаться к множеству серверов для загрузки. 

Сокращение количества rtt значительно улучшает производительность.

N.A. ℹ️ Help