Cisco Threat Grid – купленная cisco компания. Threat grid решение позволяет анализировать malware в sandbox на основе threat intelligence данных (из cisco umbrella – напр. флаг для домена о том, что он CC server). Решение threat grid интегрировано с cisco CTA (подробнее в netflow/stealthwatch), Cisco AMP for endpoints.
Читать дальше
Category: Nets
Network: DMVPN
- Все статьи про VPN
- Базовая теория
- DMVPN
- L2VPN
- Remote Access VPN
- IPsec VPN и множественные его реализации, site-to-site VPN (эта статья)
- Пример практической настройки IPSec
- Хорошая презентация про DMVPN
- DMVP стандартизирован в виде RFC и реализован напр.
Читать дальше
Network: IPv4, IPv6 протоколы (фрагментация, флаги, nat, вопросы)
-
У любого статического маршрута метрика 0 по умолчанию (Cisco)
-
IP unnumbered позволяет обрабатывать пакеты без настройки IP-адреса на интерфейсе. Это работает путем “заимствования” IР-адреса у другого интерфейса.
- RIPE рекомендовал не принимать анонсы больше /24, большинство операторов придерживаются этого правила. Если хочется анонсировать префиксы большего размера (напр.
Читать дальше
Network security: сетевые атаки (kali, yersinia, arpspoof, dns2proxy, mitmproxy, sslsplit, aircrack, dnsmasq, hping3, dnsflood, sockstress)
Kali linux
- Легко запускается в virtualbox/vmware
- Скачать можно тут
- kali/kali default username/password
- Можно поставить и life образ на flash, например, используя rufus.
- Примеры запуска DoS/DDoS атак с использованием hping3, dnsflood в отдельной статье DoS/DDoS
- Образ для QEMU, пригодится для GNS3 (доступ через vnc для GUI, ssh для CLI, но нужно включать)
# on KALI
sudo systemctl start ssh # sudo service ssh start
sudo systemctl enable ssh
# on remote
ssh root@172.16.208.130
-
- default password toor (-> root)
- Если есть проблема в работе NetworkManager в Kali Linux (нет апплета, не применяются настройки, падает интерфейс и проч) – лучше всего его снести (застопить, в конфиге /etc/NetworkManager/NetworkManager.conf
Читать дальше
Network: LLDP, CDP
CDP придуман Cisco еще в 1994! Другие вендоры могут его использовать с разрешения Cisco.
LLDP-MED (Media Endpoint Discovery) – по сути, стандартизация реализованного давно функционала в Cisco как Voice VLAN (device info, vlan, qos, poe).
Функционал LLDP-MED используется для:
- определения типа подключенного устройства (IP-телефон или коммутатор и др.),
Читать дальше
Cisco ISR 4000 series
Обновление С ISR G1/G2
Cisco ISR обновление с ISR G1/G2 на ISR 4000. Все роутеры считаются branch, но по факту могут быть использованы и в виде hub (вместо ASR серии), когда производительности и функционала достаточно.
На основе презентации и презентации2.
Читать дальше
VRF: базовая настройка в Linux и на сетевых устройствах Cisco, Huawei
Linux
- База на xgu
- При настройке VRF в linux свой интерфейс в vrf не пингуется – это ок. Интерфейс в другом vrf при этом будет отвечать нашему. Можно интерфейсы соединить кабелем напрямую (в одной подсети, но разных vrf) или через промежуточный роутер (в разных подсетях) – без разницы.
Читать дальше
Тестируем сетевые устройства с помощью Stack Integrity Checker (ISIC)
- fuzzing так же возможен на базе tcpreplay-edit, scapy, isic, radamsa + curl (скрин)
IP Stack Integrity Checker (ISIC) – набор утилит по тестированию стека tcp-ip без application layer. Им активно пользуются лаборатории по тестированию при тестировании firewall/ips, совместно с BreakingPoint stack scrambler – в основном трафик направляют непосредственно на management интерфейс DUT.
Читать дальше
Делаем usb принтер сетевым и смотрим что под капотом
USB-принтером одного хоста относительно легко поделиться с другими хостами. Хосты должны находиться в одной локальной сети.
Обмен при этом реализуется на базе гремучей смеси новых (ipv6, llmnr) и старых (netbios, ntlm, dce/rpc) протоколов, что можно увидеть в wireshark/tcpdump.
Это, безусловно, не продакшн решение (хотя по факту у многих используется так):
- нужно чтобы хост, к которому подключен принтер, был включен, хотя и нет необходимости, чтобы кто-то на нем был авторизован (используется guest учетка, см.
Читать дальше
MikroTik: разные заметки
- Универсализация (швейцарский нож) и функционал богаче cisco, копеешная цена, но производительность не слишком высокая.
- (Voip, mikrotik, qos) Парни активно используют QoS для решений клиентов на базе VoIP Asterisk, первоначально ставили cisco (было много б/у), потом переехали на Mikrotik и рады – более 200 инсталляций для soho/medium бизнеса; по рекомендации Cisco (да и из логики) для голоса лучше всего подходит Low Latency Queue (LLQ) (Linkmeup)
- При настройке и RADIUS и локальных учетных записей в ААА по умолчанию проверяется наличие учетной записи в локальной базе, а только потом в RADIUS: The RADIUS server database is consulted only if no matching user access record is found in the router’s local database.
Читать дальше