Security: Cisco IronPort AsyncOS based solutions (WSA, ESA) – Web & Email security, WAF

Популярные WAF

    •   Imperva WAF
    •   Radware AppWall
    •   Akamai Kona Site Defender
    •   Akamai Web Protection
    •   F5 Advanced WAF
    •   FortiWeb WAF
    •   Barracuda WAF

 

Основные подходы к защите веб-сайтов

1. Контроль кода / безопасная разработка / тестирования

2.

Читать дальше

Security: Cisco AMP, Cisco ThreatGrid

Cisco Threat Grid – купленная cisco компания. Threat grid решение позволяет анализировать malware в sandbox на основе threat intelligence данных (из cisco umbrella – напр. флаг для домена о том, что он CC server). Решение threat grid интегрировано с cisco CTA (подробнее в netflow/stealthwatch), Cisco AMP for endpoints.

Читать дальше

Network: DMVPN



Читать дальше

Security: classic firewall (history), Cisco ASA

Источники:

  • Про NGFW (FirePower) в отдельной статье
  • Про классические файрволы (ASA) в отдельной статье (этой)
  • Видео от Газинформсервис (ГАЗ-ИС)
  • Второе видео
  • Дока по базовой настройке Cisco ASA из второго видео Описание настроек КМЭ, в ней например подробно описана установка FirePOWER (SFR, подозреваю сокращение от SourceFiRe) модуля для Cisco ASA
https://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html#anc7


Читать дальше

Network: Cisco Catalyst разное



Читать дальше

Network: IPv4, IPv6 протоколы (фрагментация, флаги, nat, вопросы)

  • У любого статического маршрута метрика 0 по умолчанию (Cisco)

  • IP unnumbered позволяет обрабатывать пакеты без настройки IP-адреса на интерфейсе. Это работает путем “заимствования” IР-адреса у другого интерфейса.

  • RIPE рекомендовал не принимать анонсы больше /24, большинство операторов придерживаются этого правила. Если хочется анонсировать префиксы большего размера (напр.


Читать дальше

Network, Security: DoS/DDoS

  • Самые мощные атаки относительно нк мощные: 150 гбит / 1.5 терабит ; 15 MPPS / 150 MPPS ; сутки / трое в 2023 / 2024 соответственно

The Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the Multi-State Information Sharing and Analysis Center (MS-ISAC) are releasing this joint distributed denial-of-service (DDoS) attack guidance
  • Очень хороший мануал от Juniper с описанием атак и методов защиты от них в JunOS
  • БИФИТ Mitigator – Российское решение на базе стандартных серверов
  • Статья по тюнингу параметров ядра Linux для большей устойчивости в DoS/DDoS сценариях (настройки серверные)
  • Некоторое саммари:
    • сценариев DoS атак не мало, даже в крупных провайдерах регулярно происходят инциденты, связанные с падением каких-то сервисов из-за DoS (BRAS – от внешнего флуда, от внутреннего флуда/запросов)
    • для базы защиты можно и самому fastnetmon поднять, а от target атаки за много $$$ и radware/arbor не спасет, только центры очистки или свой cdn грамотный (и то не всегда)
    • линк с чисткой может легко стоить х10 и х100 от обычного

 

DOS/DDOS теория

DOS/DDOS (dns lookup, half-open attacks like syn flood; ddos = dos + botnet => flood guard) – отправляем большое количество каких-либо пакетов/запросов/ответов для отказа в обслуживании сервиса из-за нехватки ресурсов (процессинговых, памяти, сетевых и проч).

Читать дальше

Network security: сетевые атаки (kali, yersinia, arpspoof, dns2proxy, mitmproxy, sslsplit, aircrack, dnsmasq, hping3, dnsflood, sockstress)

Kali linux
  • Легко запускается в virtualbox/vmware
    • Скачать можно тут
    • kali/kali default username/password
  • Можно поставить и life образ на flash, например, используя rufus.
  • Примеры запуска DoS/DDoS атак с использованием hping3, dnsflood в отдельной статье DoS/DDoS
  • Образ для QEMU, пригодится для GNS3 (доступ через vnc для GUI, ssh для CLI, но нужно включать)
# on KALI
sudo systemctl start ssh # sudo service ssh start
sudo systemctl enable ssh

# on remote
ssh root@172.16.208.130
    • default password toor (-> root)
  • Если есть проблема в работе NetworkManager в Kali Linux (нет апплета, не применяются настройки, падает интерфейс и проч) – лучше всего его снести (застопить, в конфиге /etc/NetworkManager/NetworkManager.conf


Читать дальше

Network: теоретические максимумы FPS для разных размеров фреймов, расчет throughput (PPS/Mbps)

throughput в виде FPS (PPS) 

Удобная reference таблица теоретических максимумов по throughput в виде FPS (PPS) на базе значения throughput в виде L1 Mbps из отчета Ixia IxNetwork:

Theoretical maximum Frame Rates (frames/second) for different frame sizes (bytes)
 

Получить значение throughput в виде PPS из L1 Mbps и frame size для значений Mbps, которых нет в таблице (и для верификации данных таблицы, при необходимости) можно используя Excel или формулу ниже.



Читать дальше

Network: коммутаторы, VLAN (dot1q, private VLAN PVLAN, port isolation, traffic segmentation, etc), MAC (learning)

Разное

  • Настройка VLAN в Linux 1 2
  • Есть и QinQ
  • Рекомендации по настройке dot1q trunk на Cisco
    • использовать отдельный vlan как native на trunk
    • отключить этот vlan
sw2(config)#vlan 999
sw2(config-vlan)#name disabled_NATIVE
sw2(config-vlan)#shutdown
sw2(config-vlan)#end
  • Под vlan поле в Ethernet фрейме выделено 2^12 бит.


Читать дальше