Weril – Page 6

Network: Классическая архитектура сетевых устройств на базе Cisco IOS (NFP: control plane, management plane, data plane), защита компонентов

nfp

Network foundation protection (NFP). Подход разделения устройства на ряд компонентов позволяет проще реализовать защиту каждого компонента на основе функций, которые реализуют данные компоненты и их угроз. Защита всех компонентов позволяет говорить и защите системы в целом.

Примеры компонентов устройств на основе Cisco IOS архитектуры:

- Management plane – протоколы/трафик управления устройством (ssh, https).

Network Security: L2 (switching) security

Layer 2 attacks

Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.

Disrupt the bottom of the wall and the top is disrupted too.

Рекомендация/технология и от чего защищает:

Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
Configure access ports as access ports – DTP attacks
Limit mac addresses by port security – CAM attacks, mac spoofing

BPDU guard/root guard – STP topology (DOS, MITM attacks)

Disable CDP/LLDP – reconnaissance attacks

Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

DAI – arp spoofing attacks, rate limit

IPSG – ip spoofing attacks
Storm control – flood/DOS attacks
802.1x – authentication before access to network
ACL – control by policy

RFC, IETF (о самих документах)

Есть даже RFC 1796, которая говорит, что не каждый RFC является стандартом!

https://tools.ietf.org/html/rfc1796
https://en.m.wikipedia.org/wiki/Request_for_Comments

Not all RFCs are standards.^[20][21]Each RFC is assigned a designation with regard to status within the Internet standardization process. This status is one of the following: Informational, Experimental, Best Current Practice, Standards Track, or Historic.

Coding/Network: Программирование для сетевых инженеров, сетевая автоматизация (devnet, netdevops, netops); ZTP

Про системы конфигурации отдельная статья – CMS
Про NMS отдельная статья – NMS
(devnet, CMS annet) Нужно общаться с пользователям очень плотно если вы автоматизируете из работу – собирать требования/фидбеки, реагировать
(devnet, автоматизация) Опрос на habr.

Как Вы управляете конфигурацией?

Coding: TCL

Использовался и зачастую используется во многих сетевых устройствах – CheckPoint (web tcl), Cisco (tclsh), Ixia/Spirent (tcl automation api)
Часто используется при проектировании FPGA (использование TCL скрипта позволяет избавить пользователя от рутинной работы по созданию проекта, добавлению новых файлов, обновлению IP-ядер и многих других однотипных вещей), с чем согласен из статьи:
- TCL – Tool Command Language, основной функцией языка TCL является автоматизация рутинных задач
- Интерпретатор TCL распространяется под свободной лицензией и доступен практически для всех платформ (во многих дистрибутивах Linux он доступен по умолчанию)
- На мой взгляд, главное удобство языка TCL заключается в том, что любой аргумент команды может быть заменен другой командой.

Cisco SOHO: Cisco Small Business RV Series Routers (RV1xx, RV3xx)

О серии роутеров на сайте самой Cisco.

Крайне функциональный и простой в настройке роутер от Cisco (на основе обзора Cisco RV340). Цена всего 20к рублей.
Поддерживает 4 WAN аплинка
- 2 WAN аплинка в виде линков 1G
- 2 WAN аплинка в виде USB модемов
С меткой P – устройства с поддержкой PoE (удобно для камер/AP)
С меткой W – модель с Wi-FI 802.11 ac

Поддерживает множество серверов VPN, подключение возможно со стандартными VPN клиентами (не только any connect).

Network: Proxy (direct/redirection, transparent), SQUID

Про Security: Cisco IronPort AsyncOS based solutions (WSA, ESA) – Web & Email security отдельная статья.

Анализ рынка proxy и два

Microsoft Tmg ((Microsoft Forefront Threat Management Gateway proxy сервер)) очень даже был, и ssl инспектировал и категории url были и NIS была и ra был и reverse proxy.

Network: VMware SD-WAN

SD-WAN

Материалы

АйТиБорода “Ни единого разрыва” VMware SD-WAN
Презентация

VMware SD-WAN (VeloCloud) – топ в Magic Quadrant 2020 Wan EDGE (SD-WAN), далее уже Fortinet, Cisco, etc.

Сценарий – любые филиалы, проблемные или не проблемные, требующие надежные/особые сервисы (офисы банков, страховых компаний, медицинские и проч).

Network: SDN (Cisco ACI, Cisco DNA, Open/Juniper Contrail, openflow, openstack)

SDN – Software Defined Networking

О Juniper contrail
openflow – по сути с контроллера на ноды транслируется набор правил match-action, где в качестве action может быть pass_to/drop/mirror/etc (по сути ACL c действиями)
Tungsten: vrouter на базе dpdk.
- You can try run vrouter with dpdk.

Системное программирование (C, C++, RUST)

Для отладки кода C, в том числе даже таких крупных проектов (напр. пропусков атак в них) как snort/suricata можно и нужно использовать отладчик GDB.

The GNU Debugger (GDB) is a portable debugger that runs on many Unix-like systems and works for many programming languages, including Ada, Assembly, C, C++, D, Fortran, Haskell, Go, Objective-C, OpenCL C, Modula-2, Pascal, Rust and partially others.