пятница, 30 декабря 2016 г.

Итоги года 2016. С Наступающим!

Ну вот и подошел к концу очередной год. Я всегда люблю подводить итоги после каждой задачи/проекта/мероприятия и т.д. Поэтому попробую сформулировать некоторые вещи относительно 2016 года...
Не знаю как для Вас, а для меня это был очень сложный и очень насыщенный год. Возможно один из самых трудных в моей жизни. Рождение ребенка, смена работы, переезд в другой город, вливание в новый коллектив и т.д. Однако, оглядываясь назад, могу сказать, что это был самый интересный год в моей жизни и я бы хотел, чтобы следующие года были как минимум такие же. Новые амбициозные проекты, новые вызовы для меня, как специалиста.
Не могу сказать, что выполнил все свои планы на 2016 год. Нет, многое я не успел и на многое забил. Так случается. Не смог закончить новую книгу, не смог записать новый курс, не смог выпустить свое приложение. Но не стоит сосредотачиваться на одних неудачах и невыполненных планах. Есть много и положительных вещей. Я не буду подробно расписывать мои успехи, дабы не показаться хвастуном.

EVE/UNL2.0 - новые образы/устройства

Отличные новости с полей. Разработчики UNetLab усиленно трудятся над новым релизом, который будет уже называется EVE. Кроме значительных улучшений в плане удобства и стабильности, была анонсирована поддержка следующих образов/устройств:

вторник, 27 декабря 2016 г.

9. Корпоративная сеть на MikroTik. VLAN

Последний в этом году урок по MikroTik. В этот раз мы обсудим технологию VLAN и как с ней работать на оборудовании MikroTik.
Видео урок:

Автор курса - Конев Сергей

вторник, 20 декабря 2016 г.

8. Корпоративная сеть на MikroTik. Блокировка сайтов

Очередной урок по MikroTik. На этот раз мы рассмотрим варианты блокировки сайтов с помощью MikroTik. Также рассмотрим функционал L7 firewall.
Видео урок:

Автор курса - Конев Сергей

понедельник, 19 декабря 2016 г.

10. Практическая безопасность сетей


1.2.5 Ограничение доступа

В 90% организаций, где мне приходилось работать, к сетевому оборудованию был разрешен удаленный доступ абсолютно с любого компьютера. Только подумайте, насколько повышается риск несанкционированного доступа к коммутатору или маршрутизатору, если доступ возможен не с одного - двух компьютеров, а с тысячи? Для повышения безопасности, логичным выходом является ограничение доступа к оборудованию. Есть два основных способа:

пятница, 16 декабря 2016 г.

9. Практическая безопасность сетей


Кроме Telnet и SSH, коммутаторы и маршрутизаторы Cisco поддерживают еще один вариант управления - через веб-интерфейс. Могут использоваться такие протоколы, как HTTP и HTTPS. Пример веб-интерфейса представлен на картинке ниже.
Многие сетевые инженеры даже не знают о такой возможности по причине довольно удобной командной строки Cisco.

вторник, 13 декабря 2016 г.

8. Практическая безопасность сетей


Telnet. Этот протокол доступен практически на любом сетевом оборудовании и почти всегда используется по умолчанию. Имеет ярко выраженный недостаток - все данные передаются в открытом виде. Давайте рассмотрим простейший пример (вы можете его с легкостью повторить в GNS3 или UNetLab). Имеется следующая схема:
Предположим, что хакер получил доступ к коммутатору SW1. Либо он мог поставить свой коммутатор в разрыв существующей линии. Настроил зеркалирование трафика (SPAN порт) на свой компьютер, где в свою очередь запущен Wireshark - софт для анализа трафика. Администратор ни о чем не подозревает и инициирует удаленное telnet соединение с роутером R2. Вводит имя, пароль, просматривает конфигурацию. В это время на компьютере злоумышленника видно весь проходящий трафик, в том числе TELNET:
Если воспользоваться встроенной функцией Wireshark, а именно Analyze->Follow->TCP Stream, то можно получить следующую картину:
Как видно из картинки, злоумышленник теперь знает и логин, и пароль, и даже всю конфигурацию устройства. Сказывается отсутствие шифрования Telnet - сессии.
Не используйте Telnet в качестве протокола удаленного подключения.

1.2.3 SSH

Очевидное решение проблемы Telnet - шифрование данных. Для этой цели был создан протокол SSH (Secure Shell - “Безопасная оболочка”) - сетевой протокол прикладного уровня, предназначенный для удаленного управления. SSH является практически стандартом для удаленного администрирования и поддерживается большинством операционных систем. Протокол создает виртуальный шифрованный канал между двух устройств. При этом одно устройство выступает в качестве SSH сервера (например маршрутизатор или коммутатора), а другое - в качестве SSH клиента (например наш компьютер). Все данные внутри канала шифруются, в том числе login и password. Вообще говоря, SSH может использоваться не только для удаленного управления, но и для безопасной передачи любых данных, будь-то звук, видео и т.д.
Следует отметить, что существует две версии протокола, это SSHv1 и SSHv2. Как можно догадаться, предпочтительнее использовать именно SSHv2, он более безопасен. Эта безопасность достигается за счет использования более криптостойких алгоритмов шифрования 3DES или AES. При этом следует учитывать, что некоторое оборудование по умолчанию не поддерживает данные алгоритмы, а значит возможно использовать только SSHv1. Эта проблема решается банальным обновлением прошивки. Как правило это прошивка в названии которой присутствуют символы “k9”.
Вернемся к описанному ранее примеру:
Предположим, что теперь администратор использует SSH для подключения к маршрутизатору R2. Он подключается с помощью Putty (либо SecureCRT, это не важно), вводит пароль, просматривает конфигурацию. Злоумышленник, как и в первом примере, видит весь трафик и использует Wireshark для анализа пакетов. Если посмотреть “дамп” трафика, то можно увидеть следующее:
Можно заметить, что используется протокол SSHv2 и все пакеты в зашифрованном виде - Encrypted. Если снова воспользоваться утилитой Analyze->Follow->TCP Stream, то мы увидим следующее:
В данном случае мы уже не можем увидеть ни пароль, ни конфигурацию, что делает нецелесообразным “прослушку” управляющего трафика.
Используйте защищенные протоколы удаленного подключения (например SSHv2). 
Давайте теперь вкратце рассмотрим процесс настройки SSH подключений, тем более что это довольно простой процесс. Большую часть настроек мы уже выполнили в предыдущих этапах. На всякий случай напомню, что у вас уже должен быть задан пароль для enable и создан хотя бы один username. Затем настроена аутентификация либо с помощью aaa new-model (aaa authentication login default local) либо login local, для настройки SSH нет никакой разницы, т.к. в данном случае мы всего лишь выбираем протокол. Вот так выглядит процесс настройки:

R2(config)#ip domain-name netskills.ru /имя домена используется для генерации ключей
R2(config)#crypto key generate rsa modulus 1024 /генерируем пару ключей, где длина ключа - 1024

Длина ключа может варьироваться от 360 до 2048. После ввода команды маршрутизатор сообщит об успешной генерации ключей и о том, что был включен SSH:

The name for the keys will be: R1.netskills.ru
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
*Mar 1 00:01:54.243: %SSH-5-ENABLED: SSH 1.99 has been enabled

Теперь укажем, что нужно использовать SSH версии 2:

R2(config)#ip ssh version 2

Воспользуемся дополнительными настройками:

R2(config)#ip ssh time-out 15 /Ограничиваем время ввода логина/пароля
R2(config)#ip ssh logging events /Логируем все попытки входа

И последнее, что нам нужно сделать, это указать SSH в качестве протокола удаленного доступа:

R2(config)#line vty 0 4
R2(config-line)#transport input ssh

Обратите внимание, что если в конфигурации устройства присутствуют две группы (vty 0 4 и vty 5 15), то команду transport input ssh нужно указать дважды.
По завершении настройки обязательно проверьте возможность подключения по Telnet, доступ должен быть запрещен.

воскресенье, 11 декабря 2016 г.

7. Корпоративная сеть на MikroTik. Отказоустойчивость (VRRP)

Седьмой урок курса по MikroTik. И в этот раз мы рассмотрим основы организации отказоустойчивости и на практике опробуем протокол VRRP.
Видео урок:

Автор курса - Конев Сергей

среда, 7 декабря 2016 г.

6. Корпоративная сеть на MikroTik. Резервирование каналов

Добро пожаловать на 6-ой видео урок по MikroTik. В уроке будут рассмотрены основные методы резервирования Интернет каналов, в частности утилита Netwatch.
Видео урок:

Автор курса - Конев Сергей

вторник, 6 декабря 2016 г.

7. Практическая безопасность сетей


1.2 Удаленный доступ

Просто поразительно насколько халатно относятся к удаленному доступу большинство системных администраторов. Защита удаленного доступа к оборудованию - один из самых важных пунктов в любой политике безопасности. Данный параграф будет посвящен основным аспектам настройки удаленного доступа

понедельник, 5 декабря 2016 г.

5. Корпоративная сеть на MikroTik. Firewall

Очередной урок по MikroTik. На этот раз мы рассмотрим основы работы со списками доступа (Access List), т.е. функционал Firewall.
Видео урок:

Автор курса - Конев Сергей.


четверг, 1 декабря 2016 г.

6. Практическая безопасность сетей


1.1.5 Сброс пароля
Последний параграф из секции “Физический доступ” касается возможности сброса пароля на устройстве. Казалось бы, вход в консоль устройства запаролен и можно не волноваться даже если злоумышленник получил физический доступ к оборудованию. Однако это ложное чувство безопасности. Все еще остается одна лазейка. Подключившись к устройству по консоли довольно просто установить новый пароль, даже не зная текущего. Вообще говоря, данная тема выходит за рамки книги, но мы обязаны рассмотреть сам процесс сброса, чтобы понять, насколько это просто сделать. Для примера рассмотрим алгоритм сброса пароля на коммутаторе:

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers