Физическая защита

Не меньшее значение имеет физическая безопасность устройств. 

Злоумышленник может блокировать доступ к сетевым ресурсам, если их можно повредить на физическом уровне.

Имеется четыре класса угроз:

1️⃣ Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабельных линий и рабочих станций.

2️⃣ Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая).

3️⃣ Электрические угрозы — всплески напряжения, недостаточное напряжение в электрической сети (провалы напряжения), колебания напряжения (шум) и полное отключение электропитания.

4️⃣ Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и ненадлежащая маркировка.

Хороший план физической безопасности должен быть создан и реализован для решения этих проблем.
Планирование физической системы безопасности в целях ограничения ущерба для оборудования.

⏺Поэтажный план безопасного компьютерного зала
⏺Планирование физической системы безопасности в целях ограничения ущерба для оборудования

Шаг 1. Блокирование оборудования и предотвращение несанкционированного доступа через двери, потолок, съемный пол, окна, вентиляционные и канализационные шахты
Шаг 2. Мониторинг и управление доступом к серверному шкафу с помощью электронной системы учета
Шаг 3. Использование камер системы безопасности

N.A. ℹ️ Help

Активация подключения по SSH на устройствах Cisco

Telnet упрощает удаленный доступ к устройствам, но не является безопасным, поскольку данные передаются в незашифрованном виде.

Для обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать протокол SSH. 

Настройка SSH на устройствах Cisco выполняется в несколько этапов.

1️⃣ Настройка уникального имени хоста

Для начала задайте уникальное имя хоста для устройства, чтобы оно отличалось от имени по умолчанию:

Router(config)# hostname R1

2️⃣ Настройка имени IP-домена

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации:

R1(config)# ip domain name span.com

3️⃣ Генерация ключа для шифрования трафика SSH

SSH шифрует трафик между источником и получателем. Для этого необходимо создать уникальный ключ проверки подлинности:

R1(config)# crypto key generate rsa general-keys modulus 1024

В данном случае, размер ключа составляет 1024 бита. Чем больше значение бит, тем безопаснее ключ, но большее значение также требует больше времени для шифрования и расшифровки информации.

Минимальная рекомендуемая длина модуля — 1024 бит.

4️⃣ Создание записи в локальной базе данных

Создайте учетную запись пользователя в локальной базе данных:

R1(config)# username Bob secret cisco

Параметр secret используется для шифрования пароля с помощью MD5.

5️⃣ Аутентификация против локальной базы данных

Настройте строки vty для проверки подлинности в локальной базе данных:

R1(config)# line vty 0 4
R1(config-line)# login local

6️⃣ Включение входящих SSH-сеансов на линиях vty

Разрешите входящие SSH-сеансы на линиях vty:

R1(config-line)# transport input ssh

Теперь устройство настроено на использование SSH для безопасного удаленного доступа. Ниже представлен полный пример конфигурации:

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

⚡️Эти шаги позволят вам настроить безопасное подключение по SSH на устройстве Cisco, обеспечивая шифрование и надежность передачи данных.

N.A. ℹ️ Help

Отключите неиспользуемые службы

Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети.

Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками.

Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP.

Это можно проверить с помощью команды show ip ports all, как показано в примере.

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#



В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports.

Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны.

Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet.

Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации.

Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.

Router# 

show control-plane host open-ports

Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 tcp                 *:80                  *:0                HTTP CORE   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN
Router# configure terminal
Router(config)# 

no ip http server

Router(config)# 

line vty 0 15

Router(config-line)# 

transport input ssh

N.A. ℹ️ Help

Резервирование в небольшой сети

Обеспечение надежности сети — важный аспект при ее проектировании, особенно для малых предприятий, где сбой в работе сети может привести к значительным затратам.

Чтобы минимизировать риски и повысить надежность, необходимо предусмотреть резервирование, которое позволяет устранить единые точки отказа.

Способы резервирования

Резервирование в сети может осуществляться различными способами, включая резервное оборудование и резервные сетевые каналы на критически важных участках.

На схеме показаны следующие уровни резервирования:

⏺Резервные серверы: В случае сбоя сервера доступны резервные серверы, обеспечивающие непрерывность работы приложений и служб.

⏺Резервные связи: Каждый сервер имеет два подключения, ведущих к двум коммутаторам, что обеспечивает альтернативные пути в случае сбоя основного канала.

⏺Резервные коммутаторы: Два коммутатора подключены друг к другу и к серверам, обеспечивая резервирование на уровне коммутации.

⏺Резервные маршрутизаторы: Два маршрутизатора соединены друг с другом и с коммутаторами, предоставляя резервные маршруты и защищая сеть от сбоев маршрутизаторов.

Рекомендации для малых сетей

В небольших сетях часто имеется единая точка выхода в Интернет через один или несколько шлюзов по умолчанию.

Однако сбой в работе маршрутизатора может оставить всю сеть без подключения к Интернету. 

Для повышения надежности малым предприятиям рекомендуется приобрести пакет услуг у другого провайдера в качестве резервного соединения.

☄️ Это обеспечит дополнительный уровень безопасности и позволит сохранить доступ к критически важным ресурсам в случае сбоя основного провайдера.

N.A. ℹ️ Help

Протокол IS-IS

IS-IS (Intermediate System to Intermediate System) — это протокол внутренней маршрутизации (IGP), используемый для передачи маршрутов между маршрутизаторами в пределах одной автономной системы.

Он был разработан в 1980-х годах и является одним из ключевых протоколов в сетях больших операторов и провайдеров.

Преимущества IS-IS по сравнению с другими маршрутизирующими протоколами, такими как OSPF:

⏺Масштабируемость: IS-IS лучше справляется с масштабируемостью в больших сетях. Он способен поддерживать более крупные топологии с меньшим количеством проблем по сравнению с OSPF.

⏺Простота расширения для IPv6: В отличие от OSPF, который имеет отдельные версии для IPv4 и IPv6, IS-IS легко расширяется для поддержки IPv6 без необходимости создавать отдельный протокол.

⏺Отсутствие зависимости от IP-адресов: IS-IS работает на канальном уровне (L2) и не зависит от IP-адресов, что упрощает управление и конфигурирование в некоторых случаях.

⏺Гибкость в структуре сети: IS-IS может быть легко интегрирован в любые сетевые архитектуры, что делает его более универсальным в использовании.

Настройка IS-IS на маршрутизаторах и коммутаторах

Для настройки IS-IS на маршрутизаторах и коммутаторах Cisco следует выполнить следующие шаги

Активировать IS-IS и задать имя процесса:

Router(config)# router isis
Router(config-router)# net 49.0001.1921.6800.1001.00

Настроить IS-IS на интерфейсах:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip router isis
Router(config-if)# isis network point-to-point

Установить метрику для интерфейсов (по желанию):

Router(config-if)# isis metric 10

Активировать IS-IS для IPv6 (если необходимо):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ipv6 router isis

Пример конфигурации для маршрутизатора R1:

Router# configure terminal
Router(config)# hostname R1
R1(config)# router isis
R1(config-router)# net 49.0001.1921.6800.1001.00
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit

Проверка работы IS-IS

Для проверки корректной работы протокола IS-IS можно использовать следующие команды

Проверка таблицы маршрутизации IS-IS:

Router# show isis route

Просмотр соседей IS-IS:

Router# show isis neighbors

Просмотр базы данных IS-IS:

Router# show isis database

⚡️ Эти команды помогут убедиться, что IS-IS настроен правильно и работает в соответствии с ожиданиями, обеспечивая маршрутизацию в вашей сети.

Расширенная команда ping в Cisco IOS

Команда ping — это основной инструмент для проверки сетевой связи. 

В стандартном режиме она использует ближайший к цели интерфейс в качестве источника, что подходит для простых проверок.

Но что делать, если требуется более точная диагностика?

Стандартный ping

Когда вы выполняете стандартный ping, устройство использует IP-адрес ближайшего к цели интерфейса в качестве источника.

Например, если маршрутизатор R1 имеет интерфейсы G0/0/0 с IP-адресом 209.165.200.225 и G0/0/1 с IP-адресом 192.168.10.1, при выполнении команды ping 10.1.1.10 на R1 будет использоваться IP-адрес 209.165.200.225 в качестве источника пакетов.

Это удобно для большинства базовых проверок, но иногда нужно больше гибкости.

Расширенный ping

В Cisco IOS существует возможность использовать команду ping в расширенном режиме.

Этот режим позволяет настраивать различные параметры команды для создания специализированных запросов ping. 

Для перехода в этот режим введите команду ping в привилегированном режиме EXEC без указания IP-адреса назначения.

Далее вам будет предложено несколько подсказок для настройки расширенного режима ping.

Вот как это работает:

1️⃣ Введите ping в привилегированном режиме EXEC.

2️⃣ Система предложит ввести различные параметры, такие как целевой IP-адрес, количество повторений, размер датаграммы и другие.

3️⃣ Один из ключевых параметров — это IP-адрес источника. Вы можете указать конкретный IP-адрес или интерфейс, который будет использоваться для отправки ICMP эхо-запросов.

Пример настройки расширенного ping:

R1# ping
Protocol [ip]:
Target IP address: 10.1.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Ingress ping [n]:
Source address or interface: 192.168.10.1
DSCP Value [0]:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0x0000ABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#

Этот пример показывает, как можно настроить расширенный ping для использования IP-адреса источника 192.168.10.1.

🔥 Расширенный ping предоставляет более точную диагностику и помогает в выявлении проблем в сети, которые стандартный ping может пропустить.

N.A. ℹ️ Help

Базовый уровень сети

Одним из наиболее эффективных инструментов мониторинга и устранения неполадок с производительностью сети является определение базового уровня сети.

Эффективный базовый уровень производительности сети создается за определенный период времени.

Измерение производительности за различные периоды и с изменяемыми нагрузками позволяет составить более точную картину общей производительности сети.

Создание базового уровня

Выходные данные, полученные в результате использования сетевых команд, предоставляют данные для внесения в базовый уровень сети. 

Одним из способов создания базового уровня является копирование и вставка результатов выполнения команды ping, trace или любой другой соответствующей команды в текстовый файл.

В такие текстовые файлы можно добавить метку времени и дату, а затем сохранить их в архив для дальнейшего использования и сравнения.

Ключевые показатели

При создании базового уровня следует рассмотреть такие объекты, как сообщения об ошибках и значения времени отклика между узлами.

В случае значительного увеличения времени отклика может возникнуть проблема, связанная с задержкой.

👀 В следующем посте разберем на примерах

N.A. ℹ️ Help

Базовый уровень сети на практике

Продолжаем разбирать понятие базового уровня сети и сегодня разберем задержки.

Пример анализа данных ping

Например, следующий ping вывод был захвачен и вставлен в текстовый файл.

August 19, 2019 at 08:14:43

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC-A>

Обратите внимание, что время ping передачи в оба конца меньше 1 мс.

Через месяц пинг повторяется и захватывается.

September 19, 2019 at 10:18:21

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=50ms TTL=64
Reply from 10.1.1.10: bytes=32 time=49ms TTL=64
Reply from 10.1.1.10: bytes=32 time=46ms TTL=64
Reply from 10.1.1.10: bytes=32 time=47ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 46ms, Maximum = 50ms, Average = 48ms
C:\Users\PC-A>

⚡️ Обратите внимание на этот раз, что в команде ping время передачи в оба конца намного больше, что указывает на потенциальную проблему.

N.A. ℹ️ Help

Анализ протоколов

По мере роста сети становится важным определить, как управлять сетевым трафиком. 

Понимание типа и потока трафика, проходящего по сети, является ключевым для ее эффективного функционирования.

Для этого можно использовать различные инструменты управления сетью, одним из которых является анализатор протоколов, такой как Wireshark.

Пример использования Wireshark

Запуск Wireshark на нескольких ключевых узлах может выявить типы сетевого трафика, проходящего через сеть.

Например, статистика иерархии протоколов Wireshark для узла Windows в небольшой сети показывает, что хост использует протоколы IPv6 и IPv4.

В данных IPv4 видно, что хост использовал DNS, SSL, HTTP, ICMP и другие протоколы.

Рекомендации по захвату трафика

Чтобы определить характерные потоки трафика, важно:

Захватывать трафик в периоды пиковой нагрузки для получения надлежащего представления о различных типах трафика.

Выполнять захват в различных сегментах сети, так как некоторые типы трафика могут быть ограничены определенными сегментами.

Анализ и использование данных

Информация, собранная анализатором протоколов, оценивается на основе данных об источнике и получателе трафика, а также типа отправляемого трафика.

Результаты анализа можно использовать для принятия решений об эффективном управлении трафиком, например, путем уменьшения ненужных потоков или изменения режима потоков, перемещая сервер или службу в другой сегмент сети.

В отдельных случаях достаточно просто переместить сервер или службу, чтобы повысить производительность сети. 

🔥 В других случаях для оптимизации производительности может потребоваться серьезное вмешательство и перепроектирование сети.

N.A. ℹ️ Help

Команда arp

Команда arp выполняется из командной строки Windows, Linux или Mac. 

Команда arp –a позволяет получить список всех устройств, которые в данный момент представлены в ARP-кэше узла, а также IPv4-адрес, физический адрес и тип адресации (статическая/динамическая) для каждого из устройств.

Например, обратимся к топологии на фото выше.

Вывод команды arp -a на узле Windows PC-A.

C:\Users\PC-A> 

arp -a

Interface: 192.168.93.175 --- 0xc
  Internet Address      Physical Address      Type
  10.0.0.2              d0-67-e5-b6-56-4b     dynamic
  10.0.0.3              78-48-59-e3-b4-01     dynamic
  10.0.0.4              00-21-b6-00-16-97     dynamic
  10.0.0.254            00-15-99-cd-38-d9     dynamic



Команда arp -a отображает связку известных IP-адресов и MAC-адресов. Обратите внимание, что IP-адрес 10.0.0.5 не включен в список.

Это связано с тем, что кэш ARP отображает информацию только с устройств, к которым недавно обращались.

Чтобы проверить заполнение кэша ARP, выполните команду ping для проверки связи с устройством, чтобы для него была создана запись в таблице ARP.

Например, если PC-A посылает запрос 10.0.0.5, то кэш ARP будет содержать запись для этого IP-адреса.

Если администратору сети необходимо повторно заполнить кэш обновленными данными, можно выполнить команду netsh interface ip delete arpcache для очистки кэша.

⚡️ Для использования команды netsh interface ip delete arpcache может потребоваться доступ администратора на хосте.

N.A. ℹ️ Help

Единица данных протокола (PDU)

По мере того как данные приложений передаются по стеку протоколов до перемещения через средство сетевого подключения, различные протоколы добавляют в них информацию на каждом из уровней.

Это называется процессом инкапсуляции.

Хотя PDU UDP называется датаграммой, IP-пакеты иногда также называются IP-датаграммами.

Форма, которую принимает массив данных на каждом из уровней, называется единицей данных протокола (PDU).

В ходе инкапсуляции каждый последующий уровень инкапсулирует PDU, полученную от вышестоящего уровня в соответствии с используемым протоколом.

На каждом этапе процесса PDU получает другое имя, отражающее новые функции.

Универсальной схемы именования для PDU нет, и в этом курсе PDU называются в соответствии с терминологией набора протоколов TCP/IP, как показано на рисунке.

PDU для каждой формы данных показаны на рисунке.

⏺Данные — общий термин для обозначения PDU, используемой на уровне приложений
⏺Сегмент — PDU транспортного уровня
⏺Пакет — PDU сетевого уровня
⏺Кадр — PDU канального уровня
⏺Биты — PDU физического уровня

N.A. ℹ️ Help

Минимизация неиспользуемых адресов IPv4 узлов и максимизация подсетей

Чтобы свести к минимуму число неиспользуемых адресов IPv4 узлов и максимизировать количество доступных подсетей, при планировании подсетей необходимо учитывать два фактора: количество адресов узлов, необходимых для каждой сети, и количество необходимых отдельных подсетей.

Основные шаги:

1️⃣ Определите количество устройств (узлов) и подсетей.

2️⃣ Выберите соответствующую маску подсети на основании количества узлов и подсетей.

3️⃣ Рассчитайте количество доступных адресов узлов в каждой подсети (2^n-2).

4️⃣ Назначьте диапазоны адресов для каждой подсети, избегая пересечений и неиспользуемых адресов.

Пример: Если у вас сеть с префиксом /24 и нужно создать 4 подсети, заимствуйте 2 бита для подсетей (4 = 2^2), оставив 6 бит для узлов (8 - 2 = 6).

• Маска подсети: /26 (255.255.255.192)
• Количество подсетей: 4
• Количество узлов на подсеть: 62 (2^6 - 2)

Подсчет адресов в подсетях /24:

/25: Маска подсети 255.255.255.128
Подсетей: 2
Узлов в подсети: 126

/26: Маска подсети 255.255.255.192
Подсетей: 4
Узлов в подсети: 62

/27: Маска подсети 255.255.255.224
Подсетей: 8
Узлов в подсети: 30

/28: Маска подсети 255.255.255.240
Подсетей: 16
Узлов в подсети: 14

/29: Маска подсети 255.255.255.248
Подсетей: 32
Узлов в подсети: 6

/30: Маска подсети 255.255.255.252
Подсетей: 64
Узлов в подсети: 2

⚡️ Правильное планирование сетевой адресации позволяет эффективно использовать доступные IPv4 адреса, минимизируя неиспользуемые адреса узлов и максимизируя количество доступных подсетей.

N.A. ℹ️ Help

Структура GUA IPv6

⏺Префикс глобальной маршрутизации

Префикс глобальной маршрутизации — это часть IPv6-адреса, назначаемая интернет-провайдером заказчику или узлу. 

Обычно провайдеры назначают своим клиентам префикс глобальной маршрутизации /48, что является наиболее распространенной практикой.

Например, IPv6-адрес 2001:0DB8:ACAD::/48 имеет префикс глобальной маршрутизации, где первые 48 бит (2001:0DB8
) обозначают сетевую часть адреса.

Двойное двоеточие (::) указывает на оставшуюся часть адреса, состоящую из нулей.

Размер префикса глобальной маршрутизации определяет размер идентификатора подсети.

⏺Идентификатор подсети

Поле идентификатора подсети находится между префиксом глобальной маршрутизации и идентификатором интерфейса. 

В IPv6 идентификатор подсети используется для обозначения подсетей внутри организации, упрощая управление сетью по сравнению с IPv4.

Чем больше значение идентификатора подсети, тем больше доступных подсетей.

Например, организация, получившая префикс глобальной маршрутизации /32 и использующая /64 для идентификатора интерфейса, имеет 32 бита для идентификатора подсети.

Это позволяет создать 4,3 миллиарда подсетей, каждая из которых может содержать до 18 квинтиллионов устройств.

⏺Идентификатор интерфейса

Идентификатор интерфейса в IPv6-адресе эквивалентен узловой части IPv4-адреса.

Этот термин используется, когда один узел имеет несколько интерфейсов с одним или несколькими IPv6-адресами. 

В большинстве случаев рекомендуется использовать /64 подсети, создавая 64-битный идентификатор интерфейса, который позволяет иметь до 18 квинтиллионов устройств в подсети.

Подсеть /64 упрощает разработку адресного плана и позволяет устройствам автоматически генерировать свои идентификаторы интерфейса с помощью SLAAC.

В IPv6 устройству можно назначить адрес узла, состоящий из одних 0 или 1, что невозможно в IPv4.

N.A. ℹ️ Help

Локальный IPv6-адрес канала

Локальный IPv6-адрес канала (LLA) позволяет устройствам обмениваться данными с другими устройствами с поддержкой IPv6 в той же подсети (канале).

Пакеты с локальным адресом канала источника или назначения не могут быть направлены за пределы канала, в котором они создаются. 

GUA (глобальный уникальный адрес) не является обязательным, однако каждый сетевой интерфейс с поддержкой IPv6 должен иметь LLA.

Если локальный адрес канала не настроен вручную, устройство автоматически создает его самостоятельно, без обращения к DHCP-серверу.

Узлы под управлением IPv6 создают локальный IPv6-адрес канала даже при отсутствии глобального индивидуального IPv6-адреса, что позволяет им обмениваться данными с другими устройствами в той же подсети, включая шлюз по умолчанию (маршрутизатор).

Диапазон локальных IPv6-адресов канала — fe80::/10. Значение первого гекстета варьируется от fe80 до febf.

Обмен данными между локальными IPv6-адресами канала

На следующем рисунке показаны примеры использования локальных IPv6-адресов канала (LLA) для связи.

Компьютер может напрямую взаимодействовать с принтером с помощью LLA:

⏺fe80::bbbb/64
⏺fe80::cccc/64
⏺fe80::dddd/64
⏺fe80::1/64
⏺fe80::aaaa/64

Обмен данными между локальными IPv6-адресами канала не маршрутизируется за пределы сети.

Маршрутизаторы используют LLA соседних маршрутизаторов для отправки обновлений маршрутизации, а узлы используют LLA локального маршрутизатора в качестве шлюза по умолчанию.

В качестве шлюза по умолчанию для других устройств в канале обычно используется локальный адрес канала маршрутизатора.

Способы получения локальных IPv6-адресов канала:

⏺Статически — устройство настраивается вручную.
⏺Динамически — устройство создает свой собственный идентификатор интерфейса, используя случайно сгенерированные значения или метод Extended Unique Identifier (EUI), который использует MAC-адрес клиента вместе с дополнительными битами.

🔥 LLA обеспечивает критически важную возможность взаимодействия устройств внутри одной подсети, что является основой эффективного сетевого взаимодействия и управления.

N.A. ℹ️ Help

Основы IPv4 Access Control Lists

⏺Списки управления доступом IPv4 (ACL):

IPv4 Access Control Lists (ACL) позволяют сетевым администраторам задавать правила фильтрации трафика на маршрутизаторах.

Эти списки используются для определения, какие пакеты разрешены к прохождению через маршрутизатор, а какие должны быть отброшены.

ACL могут применяться как к входящим, так и к исходящим потокам данных на каждом интерфейсе маршрутизатора.

⏺Стандартные нумерованные списки ACL

Стандартные нумерованные списки ACL используют простую логику: они сопоставляют пакеты только по IP-адресу источника. 

Этот тип ACL является базовым и используется для фильтрации трафика на основе IP-адресов.

Нумерованные списки ACL ссылаются на правила с помощью номера, что упрощает их конфигурацию и управление.

⏺Основные функции Access Control Lists IPv4

1️⃣ Идентификация пакетов: ACL позволяют системным администраторам идентифицировать различные типы пакетов на основе значений, содержащихся в заголовках IP, TCP, UDP и других протоколов. Например, ACL могут фильтровать пакеты с определенными исходными или целевыми IP-адресами или портами назначения.

2️⃣ Фильтрация пакетов: Основное использование ACL в маршрутизаторах Cisco – это фильтрация пакетов. Маршрутизатор анализирует каждый входящий или исходящий пакет, сравнивая его с правилами ACL, чтобы определить, должен ли пакет быть пропущен или отброшен.

3️⃣ Качество обслуживания (QoS): ACL также могут использоваться для применения функций качества обслуживания. QoS позволяет маршрутизатору предоставлять различным типам трафика приоритетное обслуживание, что особенно важно для чувствительных к задержке приложений, таких как голосовые и видеопотоки.

⏺Размещение и направление ACL

Маршрутизаторы Cisco могут применять ACL к пакетам в точках входа или выхода из интерфейсов.

Это позволяет настраивать фильтрацию трафика на различных этапах его прохождения через сеть.

Например, ACL могут применяться к входящему трафику до того, как маршрутизатор примет решение о его пересылке, или к исходящему трафику после принятия решения о пересылке.

⏺Пример настройки ACL

Представьте ситуацию, в которой нужно разрешить отправку пакетов от одного хоста (A) к серверу (S1), но заблокировать отправку пакетов от другого хоста (B) к тому же серверу.

Для этого необходимо настроить ACL на интерфейсах маршрутизаторов, через которые проходит трафик от хоста B к серверу S1. 

Включение ACL на правильных интерфейсах и в правильном направлении позволяет эффективно управлять трафиком и защищать сеть от нежелательных пакетов.

N.A. ℹ️ Help

Знакомство с QUIC

QUIC (Quick UDP Internet Connections) – это новый транспортный протокол, разработанный Джимом Роскиндом в 2012 году.

Основная цель QUIC – ускорить передачу данных в стабильных высокоскоростных сетях.

Ключевые особенности QUIC

1️⃣ Сокращение рукопожатия:

QUIC сокращает трехстороннее рукопожатие до одного пакета (нулевое рукопожатие), что значительно ускоряет установку соединений.
Это достигается за счет уменьшения количества циклов обмена между отправителем и получателем.

2️⃣ Уменьшение повторных передач:

Использование Forward Error Correction (FEC) позволяет восстанавливать поврежденные данные без необходимости повторной передачи. Отрицательные подтверждения (NACK) и управление окном предотвращения перегрузки CUBIC также способствуют снижению числа повторных передач.

Процесс установления соединения в QUIC

Процесс установления соединения в QUIC включает серию криптографических ключей и хэшей:

⏺Приветствие клиента (CHLO): Клиент отправляет серверу приветствие, содержащее требование подтверждения, набор сертификатов и хэш сертификата. Поле маркера адреса источника (STK) остается пустым при первом контакте.

⏺Ответ сервера (REJ): Сервер создает STK на основе предоставленной информации и отправляет его клиенту.

⏺Подтверждение клиента: Клиент включает полученный STK в последующие пакеты приветствия. Если STK совпадает, сервер принимает приветствие.

Пара IP-адрес / STK может быть подменена злоумышленником, что является известной проблемой в QUIC и рассматривается в документации протокола.

Сокращение времени установления соединения

TCP требует как минимум полутора rtt для создания нового сеанса через SYN, SYN-ACK и ACK. QUIC уменьшает это до одного rtt.

Это особенно важно для веб-страниц и мобильных приложений, которые должны подключаться к множеству серверов для загрузки. 

Сокращение количества rtt значительно улучшает производительность.

N.A. ℹ️ Help

Cisco IOS: сохранение конфигурации

Конфигурация вашей сети Cisco хранится в двух основных местах:

• одно находится в ОЗУ
• второе - в текущей конфигурации (running configuration).

Когда вы вводите команды, они активируются немедленно и сохраняются в текущей конфигурации, которая хранится в ОЗУ.

Поэтому при выключении питания конфигурация теряется. 

Чтобы сохранить эту конфигурацию, скопируйте ее в загрузочную конфигурацию (startup-configuration), что означает, что она хранится в энергонезависимой ОЗУ (NVRAM), чтобы конфигурация сохранялась при выключении питания.

⏺Вы можете использовать две команды для сохранения вашей конфигурации: команду записи или команду копирования.

Команда записи устарела, но будет выглядеть так:

Router#write memory
Building configuration...
[OK] 



Более новая версия команды - это команда копирования, которая выглядит как:

Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]



Команда копирования предлагает больше гибкости и возможностей.

Вы можете не только скопировать данные текущей конфигурации в файл начальной конфигурации, но и скопировать их в файл на флэш-памяти или на TFTP-сервер в вашей сети.

Для любой команды вам нужно набрать столько букв, сколько требуется IOS для однозначной идентификации команды.

Например:

copy run sta



N.A. ℹ️ Help

MD5, SHA-1 и SHA-2: Какой алгоритм хэширования самый безопасный и как их проверить

Хэш-функция принимает входное значение, например, строку данных, и возвращает значение фиксированной длины. 

Идеальная хэш-функция должна быть быстрой, возвращать широкий диапазон значений, обеспечивать уникальность хэша для каждого входного значения (без коллизий), генерировать различные хэши для схожих входных данных и равномерно распределять хэш-значения без явных закономерностей.

Хотя идеальные хэш-функции не существуют, многие стремятся к этим характеристикам.

Важно отметить, что большинство хэш-функций возвращают значения фиксированной длины, что ограничивает диапазон возможных значений, но это можно игнорировать, учитывая огромный размер возможных хэшей, например, для 256-битных функций.

Популярные хэш-функции

⏺MD5 генерирует 128-битное хэш-значение и первоначально предназначался для криптографии, но позже в нем были обнаружены уязвимости. Сейчас MD5 используется для вычисления контрольных сумм и проверки целостности файлов.

⏺SHA-1 создает 160-битный хэш и был разработан для криптографических приложений, но также имеет известные уязвимости. На сегодняшний день он считается более устойчивым к атакам по сравнению с MD5, но его тоже следует заменять на более современные алгоритмы.

⏺SHA-2 включает несколько вариантов, из которых наиболее популярный – SHA-256, возвращающий 256-битное хэш-значение. Национальный институт стандартов и технологий (NIST) рекомендует использовать SHA-256 вместо MD5 и SHA-1, так как он значительно превосходит их в безопасности, хоть и работает медленнее на 20-30%.

⏺SHA-3, разработанный в 2015 году, не связан с SHA-2. Алгоритм SHA3-256 аналогичен SHA-256 по применимости, но его вычисления занимают немного больше времени.

Использование хэш-значений для проверки

Хэш-функции часто используются для проверки правильности передачи данных, например, при проверке архивных файлов (.zip или .tar).

Имея архив и его ожидаемое хэш-значение (контрольную сумму), можно выполнить вычисление хэш-функции для проверки целостности архива.

Примеры использования

В Unix можно сгенерировать контрольную сумму MD5 для tar-файла с помощью команды:

tar cf - files | tee tarfile.tar | md5sum -

В Windows с помощью PowerShell можно использовать команду:

Get-FileHash tarfile.tar -Algorithm MD5

Сгенерированную контрольную сумму можно разместить на сайте загрузки рядом со ссылкой на архив.

Получатель, скачав архив, может проверить его целостность, выполнив команду:

echo '2e87284d245c2aae1c74fa4c50a74c77 tarfile.tar' | md5sum -c

При успешной проверке появится статус "OK":

tarfile.tar: OK

Три FTP/SFTP клиента, о которых должны знать сисадмины и разработчики

Передача данных стала обычной операцией в современном ИТ-мире. 

Сегодня мы имеем дело с огромным объемом данных, который включает в себя сбор, управление и их передачу в надежное место хранения.

Однако передача больших объемов данных требует времени и ресурсов, а также сопряжена с рисками кибербезопасности.

Протоколы FTP и SFTP предлагают быструю и безопасную передачу данных.

⏺Протокол передачи файлов (FTP) используется для передачи данных между сервером и клиентом. Он следует архитектуре клиент-сервер с отдельными соединениями для передачи данных и сигналов управления.

Пользователям необходимо выполнить аутентификацию с использованием имени пользователя и пароля, хотя также возможна анонимная аутентификация.

⏺SSH File Transfer Protocol (SFTP) является более безопасным протоколом для передачи данных, используя криптографический протокол SSH.

SFTP обеспечивает безопасный доступ к файлам, их передачу и управление в надёжной среде.

FTP и SFTP можно использовать для передачи файлов, управления файлами через удаленную систему и выполнения серверных задач.

Их применение охватывает обмен файлами для соблюдения нормативных требований, загрузку файлов в системы управления контентом (CMS), администрирование серверов и модернизацию микропрограммного обеспечения.

Хотя FTP/SFTP можно использовать через командную строку, существуют удобные FTP/SFTP клиенты, которые значительно упрощают этот процесс. 

Рассмотрим три из них:

1️⃣ WinSCP

WinSCP - популярный клиент для Windows, поддерживающий протоколы SFTP, FTP, WebDAV, SCP и S3. Он предоставляет элегантный графический интерфейс, встроенный текстовый редактор и все стандартные операции с файлами, такие как копирование, вставка и удаление.

WinSCP поддерживает сценарии и автоматизацию задач, а также предлагает высокую безопасность с шифрованием файлов и проверкой обновлений приложений.

2️⃣ FileZilla

FileZilla - бесплатный и открытый кроссплатформенный клиент, поддерживающий FTP, SFTP и FTP через TLS. Он имеет простой в использовании графический интерфейс, поддерживает передачу файлов объемом более 4 ГБ и предлагает функции, такие как перетаскивание файлов, фильтры имен файлов, удаленное редактирование и синхронизацию каталогов.

FileZilla также имеет платную версию FileZilla Pro с поддержкой дополнительных протоколов, таких как WebDAV, Dropbox и Google Drive.

3️⃣ Transmit 5

Transmit 5 - мощный клиент для macOS от компании Panic. Он подключается к 15 облачным сервисам, включая FTP, SFTP, WebDAV и Amazon S3.

Transmit 5 обеспечивает синхронизацию соединений через Panic Sync, предлагает улучшенную многопоточность и высокую скорость передачи данных. Также в него встроена функция Представление активности для мониторинга активных передач.

N.A. ℹ️ Help

Что такое интерфейс стандарта CGI?

CGI (Common Gateway Interface) — это стандарт, определяющий, как внешние программы могут передавать информацию веб-серверам.

Он позволяет веб-серверам, таким как Apache, взаимодействовать с программами на языках программирования, например, Perl.

CGI — один из старейших компонентов интернет-инфраструктуры. И несмотря на появление новых технологий, он до сих пор используется.

В отличие от статических веб-страниц, CGI-скрипты позволяют генерировать динамические ответы на запросы.

⏺Обработка запросов с CGI

Сервер получает запрос, например, /example.pl. Он распознает скрипт как CGI и запускает его.

CGI-скрипт получает данные о запросе, такие как URL и HTTP-заголовки. Затем скрипт выполняется, и его вывод отправляется обратно на сервер, чтобы быть переданным клиенту как HTTP-ответ.

⏺Преимущества и недостатки CGI

CGI сохраняет популярность благодаря своей простоте и стандартизации. 

Однако он может потреблять много ресурсов при масштабировании, порождая новые процессы для каждого запроса, что может перегрузить сервер.

CGI также ограничен в управлении HTTP-обменом и безопасностью, поскольку скрипты могут получить доступ к ресурсам сервера при неправильной конфигурации.

⏺Современные альтернативы

FastCGI работает аналогично CGI, но использует постоянные процессы, что снижает потребление ресурсов. 

Некоторые языки программирования имеют встроенные модули для веб-серверов, например, модуль mod_php для Apache, который поддерживает PHP без использования CGI.

CGI сыграл важную роль в развитии веб-технологий.

⚡️Хотя появились более эффективные и безопасные методы, основные веб-серверы продолжают поддерживать CGI, и он по-прежнему находит применение, особенно в устаревших приложениях.

N.A. ℹ️ Help

Kubernetes VS Docker Swarm: в чем разница?

Современные компании всё чаще используют контейнеры для упрощения развертывания и управления приложениями. 

Контейнеры собирают все необходимые зависимости в одном пакете, что устраняет конфликты и позволяет легко переносить и масштабировать приложения.

Для этого нужны оркестрационные платформы, такие как Docker Swarm и Kubernetes, каждая из которых имеет свои особенности.

⏺Docker Swarm встроен в Docker и легко настраивается.

Он превращает несколько экземпляров Docker в один виртуальный хост, обеспечивая автоматическую балансировку нагрузки и работая с существующими инструментами Docker, такими как Docker Compose.

Это делает его идеальным для новичков и простых проектов. Однако его функциональность ограничена по сравнению с Kubernetes.

⏺Kubernetes – мощная платформа от Google, поддерживающая масштабирование, развертывание и управление сложными приложениями.

Она предлагает встроенный мониторинг, автоматическое масштабирование и поддержку сообществом. Kubernetes сложнее в установке и требует специальных знаний, но идеально подходит для крупных и сложных инфраструктур.

🔥 В итоге, Docker Swarm лучше для простых приложений и быстрого старта, а Kubernetes – для сложных проектов, требующих высокой надежности и масштабируемости.

N.A. ℹ️ Help