weril – Page 3

Network: L2VPN (xconnect, pseudowire, epipe, EOIP, openvpn bridge, VPLS)

Все статьи про VPN
- Базовая теория
- DMVPN
- L2VPN (эта статья)
- Remote Access VPN
- IPsec VPN и множественные его реализации, site-to-site VPN
- Пример практической настройки IPSec
  - IPSec VPN на Linux
  - IPSec VPN на Zyxel Keenetic
LDP backup psewudowire – востребованный функционал. При падении основного тунеля переключаемся на резерв.

IaC, CMS, CMDB (Chef, Puppet, Ansible, Nornir, CFEngine, Arista CVP; CISCO IP SOLUTION CENTER, JUNIPER WANDL, Cisco ISC, Ciena Route Explorer, ANNET)

CMDB (Configuration Management Data Base) — это база данных управления конфигурациями, которая включает в себя элементы ИТ-инфраструктуры и отражает их связи. Одна из главных особенностей CMDB — учет не только оборудования и ПО, но и конфигурационных единиц (КЕ).

Infrastructure as a Code (IaC), Configuration Management (CM), Centralized Management

Масштабируемость системы очень важный аспект для любой растущей системы.

Читать дальше

Network: заметки о DNS, OpenDNS (Cisco Umbrella), DNS security

Разное

As codified in RFC 6555 Happy Eyeballs is the idea that you should try to look for both an IPv4 and IPv6 address when doing a DNS lookup. Whichever returns first, wins.
К Google DNS можно обратится через WEB сайт dns.google

Гипервизоры VirtualBox/WorkStation/Fusion/ESXI/Hyper-V/XEN; KVM/QEMU (oVirt/Proxmox VE)

(Rfc 9411, virtualization) Советы бывалых при тестировании на производительность сетевых решений в виртуализации
1. использовать numa/cpu core pinning
2. использовать DirectPath I/O (PCI passthrough или SR-IOV)
  - Peripheral Component Interconnect (PCI) passthrough gives VNFs direct access to physical PCI devices that seem and behave as if they were physically connected to the VNF.

Security: classic firewall (history), Cisco ASA

Источники:

Про NGFW (FirePower) в отдельной статье
Про классические файрволы (ASA) в отдельной статье (этой)
Видео от Газинформсервис (ГАЗ-ИС)
Второе видео
Дока по базовой настройке Cisco ASA из второго видео Описание настроек КМЭ, в ней например подробно описана установка FirePOWER (SFR, подозреваю сокращение от SourceFiRe) модуля для Cisco ASA

https://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html#anc7

Network: работа с pcap – сбор и анализ (Wireshark/tshark, tcpdump, packetdump, capinfos), редактирование (hex editor, tcprewrite, bittwiste, editcap, mergecap, wireedit), воспроизведение (tcpreplay, bittwist), анонимизация, комплексные продукты (moloch, observer)

СБОР и АНАЛИЗ

Разное

на практике чащк всего tcpdump используется для съема, wireshark для анализа, scapy для редактирования и создания с нуля, tcpreplay для stateless проигрывания, но в статье описано много разных инструментов, включая альтернативные
курс “Wireshark: Packet Analysis and Ethical Hacking: Core Skills” на GNS3.

Network: коммутаторы, VLAN (dot1q, private VLAN PVLAN, port isolation, traffic segmentation, etc), MAC (learning)

Разное

Настройка VLAN в Linux 1 2
Есть и QinQ
Рекомендации по настройке dot1q trunk на Cisco
- использовать отдельный vlan как native на trunk
- отключить этот vlan

sw2(config)#vlan 999
sw2(config-vlan)#name disabled_NATIVE
sw2(config-vlan)#shutdown
sw2(config-vlan)#end

Под vlan поле в Ethernet фрейме выделено 2^12 бит.

Network: BGP общее, реализации (QUAGGA, BIRD, FRRouting); iWAN/PfR in Global Routing

Summary видео
- OMG 🙂 Белый дом решил заняться BGP Biden-⁠Harris Administration Releases Roadmap to Enhance Internet Routing Security
- BGP изначально построен по принципу доверия инженеру, настраивающему его
- Множество аварий связанных с BGP, включая утечки маршрутов
  - в 2008 падал youtube
  - в 2018 amazon S3 dns трафик перенаправлен ; вопровство денег из криптокошельков
  - в 2021 падал facebook/insta
- ответом в том числе по мнению белого дома является использование RPKI для валидации коррекности принимаемой информации; при этом он плохо применяется в USA (30%) в сравнении с Европой (70%)

CheatSheet
Полезные ссылки – построение графов, список соседей по пирингу, префиксы и проч
- bgp.he.net

Security: remote access (RA) VPN (SSL/TLS VPN, IPSec VPN, VPN clients: Cisco AnyConnect); GOST VPN: ViPNet, Kontinent, S-Terra

Все статьи про VPN
- Базовая теория
- DMVPN
- L2VPN
- Remote Access VPN
- IPsec VPN и множественные его реализации, site-to-site VPN (эта статья)
- Пример практической настройки IPSec
  - IPSec VPN на Linux
  - IPSec VPN на Zyxel Keenetic
ЦБ спокойно может написать ГОСТ и сама использовать при это cisco anyconnect (мнение из чата NGFW)

Расчет накладных расходов ГОСТ VPN ViPNet, Kontinent, S-Terra от Александра Веселова (Солар).

Linux: user & group management

Короткий список команд для создания пользователя

Создание пользователя. В файле /etc/passwd хранятся все пользователи (бекап в /etc/passwd-).

sudo useradd -m -s /bin/bash weril
sudo passwd weril
sudo login weril - тестово логинемся
sudo passwd -e weril - (expire) делаем пароль протухшим (после авторизации пользователя заставят поменять пароль)
# sudo passwd -l weril - (lock) блокируем пользователя
sudo vi /etc/ssh/sshd_config - добавляем в AllowUsers в sshd (AllowUsers <username>@*)
sudo /etc/init.d/sshd