Network Security: L2 (switching) security

Layer 2 attacks
Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.
Disrupt the bottom of the wall and the top is disrupted too.
Рекомендация/технология и от чего защищает:
  • Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
  • Configure access ports as access ports – DTP attacks
  • Limit mac addresses by port security – CAM attacks, mac spoofing

  • BPDU guard/root guard – STP topology (DOS, MITM attacks)

  • Disable CDP/LLDP – reconnaissance attacks

  • Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
  • DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

  • DAI – arp spoofing attacks, rate limit

 

  • IPSG – ip spoofing attacks
  • Storm control – flood/DOS attacks
  • 802.1x – authentication before access to network
  • ACL – control by policy


Читать дальше

Network: DMVPN



Читать дальше

Linux: работа с vpn, туннелями (gre, ipsec, stunnel, openvpn, shadowsocks, outline, cloak, v2ray, vmess/vless, etc)

 

vpn ports
  • PPTP TCP port 1723
  • L2TP TCP port 1701, UDP 500/4500
  • SSTP TCP 443

 

Зачем одному пользователю
  • Сбор информации за вами
  • Telegram
реализации

Их очень много, выбираем что нравится:

  • xSwan (StrongSwan, LibreSwan) и реализации на основе них (напр.


Читать дальше

Network: VLAN (dot1q, private VLAN PVLAN, port isolation, traffic segmentation, etc), MAC (learning)

Разное

  • Настройка VLAN в Linux 1 2
  • Есть и QinQ
  • Рекомендации по настройке dot1q trunk на Cisco
    • использовать отдельный vlan как native на trunk
    • отключить этот vlan
sw2(config)#vlan 999
sw2(config-vlan)#name disabled_NATIVE
sw2(config-vlan)#shutdown
sw2(config-vlan)#end
  • Под vlan поле в Ethernet фрейме выделено 2^12 бит.


Читать дальше

iOS заметки

Настройка автоподключения к VPN

Используя L2TP сервер (напр. docker ipsec-vpn-server) можно настроить устройства на iOS с опцией автоподключения к сети при разрыве с любых сетей, используя функционал “VPN On Demand”.

Читать дальше

Network: LLDP, CDP

CDP придуман Cisco еще в 1994! Другие вендоры могут его использовать с разрешения Cisco.

LLDP-MED (Media Endpoint Discovery) – по сути, стандартизация реализованного давно функционала в Cisco как Voice VLAN (device info, vlan, qos, poe).

Функционал LLDP-MED используется для:
- определения типа подключенного устройства (IP-телефон или коммутатор и др.),


Читать дальше

Network: стандарты Ethernet 802.3 (поля, скорость, LLC, SNAP, MTU, CSMA/CD, carrier delay, MAC address)

Разное
  • На коммутаторах Cisco, если автосогласование было неуспешно, то режим дуплекса будет таким: если скорость 10 или 100 Мбит/с – half-duplex; если выше – full-duplex.

  • Про qos отдельно
  • 100G Ethernet внутри реализован как объединение 10Gx10 или 25Gx4. Одну линию с нужной частотой (требуется 100 ГГц вместо 10х10 ГГц, а если быть точным 10.3125Ghz или 25х4 ГГц/25.78125Ghz) пока слишком сложно сделать.


Читать дальше

Network: эволюция производительности сетевых устройств и трансиверов (100G, 400G)



Читать дальше

Network: arp, ip neighbour discovery теория

  • статья по практике в Linux отдельно
  • статья по теории отдельно
  • на каком уровне работает arp – на третьем как mpls

ipv6

Neighbor Discovery Protocol (ND) – по сути аналог arp в сетях IPv6, работает на базе ICMP, а не как отдельное вложение в Ethernet.

Читать дальше

SAN на базе IP

Конспект вебинара HonorCup E=DC2 для сдачи HCNA Storage.

IP SAN – способ построения сети хранения поверх транспортной сети TCP/IP (на L2 может быть Ethernet или даже Wi-Fi). Для реализации IP SAN чаще всего используется протокол iSCSI. SCSI – де факто отраслевой стандарт передачи данных между приложением и СХД, а iSCSI (internet SCSI) позволил использовать его в IP сетях.

Читать дальше