Weril – Page 3

Network: Bi.zone SD-WAN

SD-WAN

Материалы:

Разное

Централизация управления сетью.
Ведут активный R&D.
Продукт основан на экспертизе внутри bi.zone по работе с западными решениями SD-WAN.
Виртуальные сетевые функции на оборудовании (т.е. все реализовано судя по услышанному через VNF) – удобно для разработки с точки зрения ЗО команд разработки, удобно для заказчика.

Network, Security: PaloAlto

Разное:

АХАХАХХА в ролике о PA performance тестах рандомный чел “I bet it’s full of backdoors for the NSA.“
Мнение: “Я на самом деле считаю, что подход only L7 Пальто оверкил”
Мнение: Я бы рекомендовал везде ((отключать анализ приложений, если не используются правила с приложениями)), но пальто это особый случай.

Network Security: Fortigate (Fortinet)

ндв в фортике
Но, блин, дому же хуявею у меня доверия больше.
там хоть рабочие эксплойты не гуляют месяцами по всему инету пока уязвимость чуть не модифицируют, тчо бы она осталась, но работала чуть по другому...

FortiGuard

Vdom – виртуальные домены – разделение одного физического firewall на несколько логических
Несколько месяцев наблюдали за кибер-шпионами, обалдеть.

Security: Endpoint Detection & Protection (EPP, EDR/ETDR, AMP, MDM, HBF)

Overview

От простого snort/suricata на хосте есть толк даже при наличии snort/suricata с таким же набором правил на уровне сети – на уровне хоста весь трафик расшифрован и работа идет с нормализованным payload.
HBF (host-based firewall) встроен во все OS сегодня и даже используется облачными операторами типа yandex cloud
Примеры HBF встроенных в системы виртуализации и контейнеризации:
- VMware NSX-T
- K8S calico, cilium

AMP – Advanced Malware Protection – подробнее ниже

MDM – Mobile Device Management – подробнее ниже

EPP – Endpoint Protection Platform (preventing), EDR – Endpoint Detection & Response (detecting), ETDR – Endpoint Threat Detection & Response (detecting) – часто EPP и EDR и ETDR решения рассматриваются как одно и тоже, ключевое различие в скобках.

Читать дальше

Network: L1, кабеля оптические/медные/коаксиальные (fiber, copper, coax); коннекторы оптические и медные

Copper

2.5 и 5G Ethernet возможен на категории 5e на «полную» длину 100М

Can leverage existing Cat5e extending ROI and support mGig at 2.5G and 5G speeds at a distance of 100m

10G Ethernet по UTP кабелю возможен
- Cat6 – 55m
- Cat6a – 100m

Category 6A is required to reach the full distance and category 6 may reach up to 55 metres (180 ft) depending on the quality of installation.

Security: remote access (RA) VPN (SSL/TLS VPN, IPSec VPN, VPN clients: Cisco AnyConnect); GOST VPN: ViPNet, Kontinent, S-Terra

Все статьи про VPN
- Базовая теория
- DMVPN
- L2VPN
- Remote Access VPN
- IPsec VPN и множественные его реализации, site-to-site VPN (эта статья)
- Пример практической настройки IPSec
  - IPSec VPN на Linux
  - IPSec VPN на Zyxel Keenetic
ЦБ спокойно может написать ГОСТ и сама использовать при это cisco anyconnect (мнение из чата NGFW)

Расчет накладных расходов ГОСТ VPN ViPNet, Kontinent, S-Terra от Александра Веселова (Солар).

Network: Классическая архитектура сетевых устройств на базе Cisco IOS (NFP: control plane, management plane, data plane), защита компонентов

nfp

Network foundation protection (NFP). Подход разделения устройства на ряд компонентов позволяет проще реализовать защиту каждого компонента на основе функций, которые реализуют данные компоненты и их угроз. Защита всех компонентов позволяет говорить и защите системы в целом.

Примеры компонентов устройств на основе Cisco IOS архитектуры:

- Management plane – протоколы/трафик управления устройством (ssh, https).

Network Security: L2 (switching) security

Layer 2 attacks

Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.

Disrupt the bottom of the wall and the top is disrupted too.

Рекомендация/технология и от чего защищает:

Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
Configure access ports as access ports – DTP attacks
Limit mac addresses by port security – CAM attacks, mac spoofing

BPDU guard/root guard – STP topology (DOS, MITM attacks)

Disable CDP/LLDP – reconnaissance attacks

Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

DAI – arp spoofing attacks, rate limit

IPSG – ip spoofing attacks
Storm control – flood/DOS attacks
802.1x – authentication before access to network
ACL – control by policy

RFC, IETF (о самих документах)

Есть даже RFC 1796, которая говорит, что не каждый RFC является стандартом!

https://tools.ietf.org/html/rfc1796
https://en.m.wikipedia.org/wiki/Request_for_Comments

Not all RFCs are standards.^[20][21]Each RFC is assigned a designation with regard to status within the Internet standardization process. This status is one of the following: Informational, Experimental, Best Current Practice, Standards Track, or Historic.

Coding/Network: Программирование для сетевых инженеров, сетевая автоматизация (devnet, netdevops, netops)

Местами информация взята из собственного достаточно богатого опыта, местами из статьи habr и подкастов linkmeup
`Автоматизация позволяет допускать меньше ошибок за счет учета алгоритмами типовых вещей, с другой стороны, если в самой автоматизации будет допущена ошибка, масштаб этой ошибки может быть очень глобальным (на моей памяти были примеры массовых окирпичиваний :)) – поэтому скорость деплоя зачастую не так важна при работе с сетевыми устройствами (в том числе поэтому от использования cli интерфейса для автоматизации не слишком страдают) и администраторы кучу раз перестраховываются перед массовым деплоем в прод, в том числе разнося изменения по времени.