Network – Weril

Network: общее о SD-WAN и Cisco SD-WAN

SD-WAN

Cisco SD-WAN
VMware SD-WAN
Kaspersky SD-WAN
Bi.zone SD-WAN
low touch provisioning cisco ngfw/ftd в статье про ngfw/ftd
Форти SD-WAN очень похоже на решение для пивной палатки 🤣

Заметки по результату изучения SD-WAN Cisco на базе множества открытых источников.

Источники информации (изучил полностью)

cisco site
- videos
- datasheets
- licensing
habr
видео Cisco CLNV SCOR
спецификации к серверам vManage/vBond/vSmart
youtube
- https://www.youtube.com/watch?v=isMnWZqAh0k

Network: capacity planning, среднее потребление трафика в крупной сети (throughput, CC, CPS); количество правил NGFW/firewall/ACL

Ruleset size, ACL size, policy size

У некоторых заказчиков по 10 тыс. и больше правил (25К – реальные пример, пример Батранкова с 80К – он видел максимум, личные примеры общения с оч крупным заказчиком «до десятков тысяч на периметре, до сотни тысяч в ДЦ»); но по факту тут нужен зачастую уже функционал оптимизации правил в продукте, скорей всего большая часть правил ненужная
Потребность в большом количестве правил есть и будет, поэтому многие вендоры реализовали так или иначе быстрый поиск по множеству правил, зачастую с ростом количества правил производительность или не деградирует или деградирует минимально
- YaNet – Yandex NexHop 2021-2022 https://github.com/yanet-platform/yanet?tab=readme-ov-file

Network Security: L2 (switching) security

Layer 2 attacks

Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.

Disrupt the bottom of the wall and the top is disrupted too.

Рекомендация/технология и от чего защищает:

Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
Configure access ports as access ports – DTP attacks
Limit mac addresses by port security – CAM attacks, mac spoofing

BPDU guard/root guard – STP topology (DOS, MITM attacks)

Disable CDP/LLDP – reconnaissance attacks

Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

DAI – arp spoofing attacks, rate limit

IPSG – ip spoofing attacks
Storm control – flood/DOS attacks
802.1x – authentication before access to network
ACL – control by policy

Network: SDN (Cisco ACI, Cisco DNA, VXLAN, Open/Juniper Contrail)

SDN – Software Defined Networking

Ни для кого не секрет, что оверлейная сеть, обеспечивающая мультитенантностьYandex.Cloud, реализована на OpenContrail (ныне Tungsten Fabric).

Network: IPv4, IPv6 протоколы (фрагментация, флаги, nat, вопросы)

IP unnumbered позволяет обрабатывать пакеты без настройки IP-адреса на интерфейсе. Это работает путем “заимствования” IР-адреса у другого интерфейса.
RIPE рекомендовал не принимать анонсы больше /24, большинство операторов придерживаются этого правила. Если хочется анонсировать префиксы большего размера (напр. /25) – нужно писать апстримам.

Network, Security: DoS/DDoS

Неплохой базовый мануал (часть инфы ниже оттуда) что такое DoS от CISA / FBI и крупных компаних в IT (Akamai, Cloudflare, Google) с меткой TLP:clear на безграничное распространение: Understanding and Responding to Distributed Denial-of-Service Attacks_508c

The Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the Multi-State Information Sharing and Analysis Center (MS-ISAC) are releasing this joint distributed denial-of-service (DDoS) attack guidance

Очень хороший мануал от Juniper с описанием атак и методов защиты от них в JunOS
БИФИТ Mitigator – Российское решение на базе стандартных серверов
Статья по тюнингу параметров ядра Linux для большей устойчивости в DoS/DDoS сценариях (настройки серверные)

DOS/DDOS теория

DOS/DDOS (dns lookup, half-open attacks like syn flood; ddos = dos + botnet => flood guard) – отправляем большое количество каких-либо пакетов/запросов/ответов для отказа в обслуживании сервиса из-за нехватки ресурсов (процессинговых, памяти, сетевых и проч).

Читать дальше

Network security: сетевые атаки (kali, yersinia, arpspoof, dns2proxy, mitmproxy, sslsplit, aircrack, dnsmasq, hping3, dnsflood, sockstress)

Kali linux

Легко запускается в virtualbox/vmware
- Скачать можно тут
- kali/kali default username/password
Можно поставить и life образ на flash, например, используя rufus.
Примеры запуска DoS/DDoS атак с использованием hping3, dnsflood в отдельной статье DoS/DDoS
Образ для QEMU, пригодится для GNS3 (доступ через vnc для GUI, ssh для CLI, но нужно включать)

# on KALI
sudo systemctl start ssh # sudo service ssh start
sudo systemctl enable ssh

# on remote
ssh root@172.16.208.130

- default password toor (-> root)
Если есть проблема в работе NetworkManager в Kali Linux (нет апплета, не применяются настройки, падает интерфейс и проч) – лучше всего его снести (застопить, в конфиге /etc/NetworkManager/NetworkManager.conf

Network: теоретические максимумы FPS для разных размеров фреймов, расчет throughput (PPS/Mbps)

throughput в виде FPS (PPS)

Удобная reference таблица теоретических максимумов по throughput в виде FPS (PPS) на базе значения throughput в виде L1 Mbps из отчета Ixia IxNetwork:

Theoretical maximum Frame Rates (frames/second) for different frame sizes (bytes)

Получить значение throughput в виде PPS из L1 Mbps и frame size для значений Mbps, которых нет в таблице (и для верификации данных таблицы, при необходимости) можно используя Excel или формулу ниже.

VRF: базовая настройка в Linux и на сетевых устройствах Cisco, Huawei

Linux

База на xgu
При настройке VRF в linux свой интерфейс в vrf не пингуется – это ок. Интерфейс в другом vrf при этом будет отвечать нашему. Можно интерфейсы соединить кабелем напрямую (в одной подсети, но разных vrf) или через промежуточный роутер (в разных подсетях) – без разницы.

Network: AWS (vCPU, network/servers: Elastic IP, VPC, vcpu)

elastic beanstalk – деплой, автоскейлинг (инстанцев/контейнеров), healthcheck приложений; позволяет разработчикам меньше думать о деплое и поддержке, больше о разработке; выглядит как приближение к k8s (о нем ниже)
Aws EKS – k8s в aws (aws отвечает за внутренние движки k8s), значительно сложнее вышестоящего beanstalk

aws

Fortinet активно пользуется aws s3 CDN для выкладывания PDF.