Author: weril

Security: квантовое распределение ключей

  • В июне 2017 года китайские учёные осуществили квантовую телепортацию на расстояние свыше 1200 километров.
  • Механизм безопасности полагается на физические принципы, а не математическую сложность – ключевой плюс.
  • В 84 году два ученых описали в теории как можно при помощи квантового распределения ключей обеспечивать безопасную коммуникацию

BB84 – визуальное представление работы (хороший слайд NextHop 2021).

Читать дальше

Network: ntttcp

  • (iperf/ntttcp) Microsoft не рукомендует использование iperf3 на Windows в пользу использования ntttcp (в первую очередь)/ctstraffic – iperf3 оффициально на винде не поддерживается (в отличии от второй версии), он обычно использует прослойку в виде cygwin и нестандартные вызовы сетевого стека – первое может накладывать задержку, второе не эмулирует реальные приложения.


Читать дальше

Kubernetes (k8s)

  • Использование k8s не обязательно хорошо и правильно – для решения большинства задач proxmox с kvm + контейнерами вполне достаточно.
    K8s же это значимое доп. Complexity, хотя и утрировать проблему тоже не нужно – есть типовые работающие сценарии, есть даже множественные реализации GUI интерфейса для k8s (самый популярный kubernetes dashboard)
DEVOPS это IVI4 админ, SRE Iv/5.


Читать дальше

Azure Network Engineer

Azure Network Engineer Associate (exam: AZ-700)

Очень хороший youtube playlist по экзамену AZ-700.

Azure Networking Cookbook # мб поизучать если будешь сдавать Azure Networking

Статьи performance tuning в azure, по тестированию performance с использованием NTTCP и статьи по маршрутизации в virtual network Azure.

Читать дальше

Network: Bi.zone SD-WAN

SD-WAN

 

Материалы:

Разное

  • Централизация управления сетью.
  • Ведут активный R&D.
  • Продукт основан на экспертизе внутри bi.zone по работе с западными решениями SD-WAN.
  • Виртуальные сетевые функции на оборудовании (т.е. все реализовано судя по услышанному через VNF) – удобно для разработки с точки зрения ЗО команд разработки, удобно для заказчика.


Читать дальше

Network Security: Fortigate (Fortinet)

ндв в фортике
Но, блин, дому же хуявею у меня доверия больше.
там хоть рабочие эксплойты не гуляют месяцами по всему инету пока уязвимость чуть не модифицируют, тчо бы она осталась, но работала чуть по другому...
FortiGuard
  • Vdom – виртуальные домены – разделение одного физического firewall на несколько логических
  • Несколько месяцев наблюдали за кибер-шпионами, обалдеть.


Читать дальше

Security: Endpoint Detection & Protection (EPP, EDR/ETDR, AMP, MDM, HBF)

Overview
  • От простого snort/suricata на хосте есть толк даже при наличии snort/suricata с таким же набором правил на уровне сети – на уровне хоста весь трафик расшифрован и работа идет с нормализованным payload.
  • HBF (host-based firewall) встроен во все OS сегодня и даже используется облачными операторами типа yandex cloud
  • Примеры HBF встроенных в системы виртуализации и контейнеризации:
    • VMware NSX-T
    • K8S calico, cilium


AMP – Advanced Malware Protection – подробнее ниже

MDM – Mobile Device Management – подробнее ниже

EPP – Endpoint Protection Platform (preventing)EDR – Endpoint Detection & Response (detecting), ETDR – Endpoint Threat Detection & Response (detecting) – часто EPP и EDR и ETDR решения рассматриваются как одно и тоже, ключевое различие в скобках.

Читать дальше

Network: L1, кабеля оптические/медные/коаксиальные (fiber, copper, coax); коннекторы оптические и медные

Copper
  • 2.5 и 5G Ethernet возможен на категории 5e на «полную» длину 100М
Can leverage existing Cat5e extending ROI and support mGig at 2.5G and 5G speeds at a distance of 100m
  • 10G Ethernet по UTP кабелю возможен
    • Cat6 – 55m
    • Cat6a – 100m
Category 6A is required to reach the full distance and category 6 may reach up to 55 metres (180 ft) depending on the quality of installation. 


Читать дальше

Network: Классическая архитектура сетевых устройств на базе Cisco IOS (NFP: control plane, management plane, data plane), защита компонентов

nfp
Network foundation protection (NFP). Подход разделения устройства на ряд компонентов позволяет проще реализовать защиту каждого компонента на основе функций, которые реализуют данные компоненты и их угроз. Защита всех компонентов позволяет говорить и защите системы в целом.
Примеры компонентов устройств на основе Cisco IOS архитектуры:
    • Management plane – протоколы/трафик управления устройством (ssh, https).


Читать дальше

Network Security: L2 (switching) security

Layer 2 attacks
Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.
Disrupt the bottom of the wall and the top is disrupted too.
Рекомендация/технология и от чего защищает:
  • Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
  • Configure access ports as access ports – DTP attacks
  • Limit mac addresses by port security – CAM attacks, mac spoofing

  • BPDU guard/root guard – STP topology (DOS, MITM attacks)

  • Disable CDP/LLDP – reconnaissance attacks

  • Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
  • DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

  • DAI – arp spoofing attacks, rate limit

 

  • IPSG – ip spoofing attacks
  • Storm control – flood/DOS attacks
  • 802.1x – authentication before access to network
  • ACL – control by policy


Читать дальше