Azure Network Engineer

Azure Network Engineer Associate (exam: AZ-700)

Очень хороший youtube playlist по экзамену AZ-700.

Azure Networking Cookbook # мб поизучать если будешь сдавать Azure Networking

Статьи performance tuning в azure, по тестированию performance с использованием NTTCP и статьи по маршрутизации в virtual network Azure.

Читать дальше

Network: Bi.zone SD-WAN

SD-WAN

 

Материалы:

Разное

  • Централизация управления сетью.
  • Ведут активный R&D.
  • Продукт основан на экспертизе внутри bi.zone по работе с западными решениями SD-WAN.
  • Виртуальные сетевые функции на оборудовании (т.е. все реализовано судя по услышанному через VNF) – удобно для разработки с точки зрения ЗО команд разработки, удобно для заказчика.


Читать дальше

Network, Security: PaloAlto

Разное:
  • АХАХАХХА в ролике о PA performance тестах рандомный чел “I bet it’s full of backdoors for the NSA.
  • Мнение: “Я на самом деле считаю, что подход only L7 Пальто оверкил”
  • Мнение: Я бы рекомендовал везде ((отключать анализ приложений, если не используются правила с приложениями)), но пальто это особый случай.


Читать дальше

Network Security: Fortigate (Fortinet)

ндв в фортике
Но, блин, дому же хуявею у меня доверия больше.
там хоть рабочие эксплойты не гуляют месяцами по всему инету пока уязвимость чуть не модифицируют, тчо бы она осталась, но работала чуть по другому...
FortiGuard
  • Vdom – виртуальные домены – разделение одного физического firewall на несколько логических
  • Несколько месяцев наблюдали за кибер-шпионами, обалдеть.


Читать дальше

Security: Endpoint Detection & Protection (EPP, EDR/ETDR, AMP, MDM, HBF)

Overview
  • От простого snort/suricata на хосте есть толк даже при наличии snort/suricata с таким же набором правил на уровне сети – на уровне хоста весь трафик расшифрован и работа идет с нормализованным payload.
  • HBF (host-based firewall) встроен во все OS сегодня и даже используется облачными операторами типа yandex cloud
  • Примеры HBF встроенных в системы виртуализации и контейнеризации:
    • VMware NSX-T
    • K8S calico, cilium


AMP – Advanced Malware Protection – подробнее ниже

MDM – Mobile Device Management – подробнее ниже

EPP – Endpoint Protection Platform (preventing)EDR – Endpoint Detection & Response (detecting), ETDR – Endpoint Threat Detection & Response (detecting) – часто EPP и EDR и ETDR решения рассматриваются как одно и тоже, ключевое различие в скобках.

Читать дальше

Network: L1, кабеля оптические/медные/коаксиальные (fiber, copper, coax); коннекторы оптические и медные

Copper
  • 2.5 и 5G Ethernet возможен на категории 5e на «полную» длину 100М
Can leverage existing Cat5e extending ROI and support mGig at 2.5G and 5G speeds at a distance of 100m
  • 10G Ethernet по UTP кабелю возможен
    • Cat6 – 55m
    • Cat6a – 100m
Category 6A is required to reach the full distance and category 6 may reach up to 55 metres (180 ft) depending on the quality of installation. 


Читать дальше

Security: remote access (RA) VPN (SSL/TLS VPN, IPSec VPN, VPN clients: Cisco AnyConnect); GOST VPN: ViPNet, Kontinent, S-Terra

 

Расчет накладных расходов ГОСТ VPN ViPNet, Kontinent, S-Terra от Александра Веселова (Солар).


Читать дальше

Network: Классическая архитектура сетевых устройств на базе Cisco IOS (NFP: control plane, management plane, data plane), защита компонентов

nfp
Network foundation protection (NFP). Подход разделения устройства на ряд компонентов позволяет проще реализовать защиту каждого компонента на основе функций, которые реализуют данные компоненты и их угроз. Защита всех компонентов позволяет говорить и защите системы в целом.
Примеры компонентов устройств на основе Cisco IOS архитектуры:
    • Management plane – протоколы/трафик управления устройством (ssh, https).


Читать дальше

Network Security: L2 (switching) security

Layer 2 attacks
Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.
Disrupt the bottom of the wall and the top is disrupted too.
Рекомендация/технология и от чего защищает:
  • Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
  • Configure access ports as access ports – DTP attacks
  • Limit mac addresses by port security – CAM attacks, mac spoofing

  • BPDU guard/root guard – STP topology (DOS, MITM attacks)

  • Disable CDP/LLDP – reconnaissance attacks

  • Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
  • DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

  • DAI – arp spoofing attacks, rate limit

 

  • IPSG – ip spoofing attacks
  • Storm control – flood/DOS attacks
  • 802.1x – authentication before access to network
  • ACL – control by policy


Читать дальше

RFC, IETF (о самих документах)

Есть даже RFC 1796, которая говорит, что не каждый RFC является стандартом!
https://tools.ietf.org/html/rfc1796
https://en.m.wikipedia.org/wiki/Request_for_Comments

Not all RFCs are standards.[20][21]Each RFC is assigned a designation with regard to status within the Internet standardization process. This status is one of the following: InformationalExperimentalBest Current PracticeStandards Track, or Historic.


Читать дальше