Network: Классическая архитектура сетевых устройств на базе Cisco IOS (NFP: control plane, management plane, data plane), защита компонентов

nfp
Network foundation protection (NFP). Подход разделения устройства на ряд компонентов позволяет проще реализовать защиту каждого компонента на основе функций, которые реализуют данные компоненты и их угроз. Защита всех компонентов позволяет говорить и защите системы в целом.
Примеры компонентов устройств на основе Cisco IOS архитектуры:
    • Management plane – протоколы/трафик управления устройством (ssh, https).


Читать дальше

Network Security: L2 (switching) security

Layer 2 attacks
Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.
Disrupt the bottom of the wall and the top is disrupted too.
Рекомендация/технология и от чего защищает:
  • Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
  • Configure access ports as access ports – DTP attacks
  • Limit mac addresses by port security – CAM attacks, mac spoofing

  • BPDU guard/root guard – STP topology (DOS, MITM attacks)

  • Disable CDP/LLDP – reconnaissance attacks

  • Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
  • DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

  • DAI – arp spoofing attacks, rate limit

 

  • IPSG – ip spoofing attacks
  • Storm control – flood/DOS attacks
  • 802.1x – authentication before access to network
  • ACL – control by policy


Читать дальше

RFC, IETF (о самих документах)

Есть даже RFC 1796, которая говорит, что не каждый RFC является стандартом!
https://tools.ietf.org/html/rfc1796
https://en.m.wikipedia.org/wiki/Request_for_Comments

Not all RFCs are standards.[20][21]Each RFC is assigned a designation with regard to status within the Internet standardization process. This status is one of the following: InformationalExperimentalBest Current PracticeStandards Track, or Historic.


Читать дальше

Coding/Network: Программирование для сетевых инженеров, сетевая автоматизация (devnet, netdevops, netops); ZTP

 

  • Про системы конфигурации отдельная статья – CMS
  • Про NMS отдельная статья – NMS
  • (devnet, CMS annet) Нужно общаться с пользователям очень плотно если вы автоматизируете из работу – собирать требования/фидбеки, реагировать
  • (devnet, автоматизация) Опрос на habr.
Как Вы управляете конфигурацией?


Читать дальше

Coding: TCL

 



Читать дальше

Cisco SOHO: Cisco Small Business RV Series Routers (RV1xx, RV3xx)

О серии роутеров на сайте самой Cisco.

  • Крайне функциональный и простой в настройке роутер от Cisco (на основе обзора Cisco RV340). Цена всего 20к рублей.
  • Поддерживает 4 WAN аплинка
    • 2 WAN аплинка в виде линков 1G
    • 2 WAN аплинка в виде USB модемов
  • С меткой P – устройства с поддержкой PoE (удобно для камер/AP)
  • С меткой W – модель с Wi-FI 802.11 ac

  • Поддерживает множество серверов VPN, подключение возможно со стандартными VPN клиентами (не только any connect).


Читать дальше

Network: Proxy (direct/redirection, transparent), SQUID

Про Security: Cisco IronPort AsyncOS based solutions (WSA, ESA) – Web & Email security отдельная статья.

Анализ рынка proxy и два

  • Microsoft Tmg ((Microsoft Forefront Threat Management Gateway proxy сервер)) очень даже был, и ssl инспектировал и категории url были и NIS была и ra был и reverse proxy.


Читать дальше

Network: VMware SD-WAN

SD-WAN

 

Материалы

 

VMware SD-WAN (VeloCloud) – топ в Magic Quadrant 2020 Wan EDGE (SD-WAN), далее уже Fortinet, Cisco, etc.

  • Сценарий – любые филиалы, проблемные или не проблемные, требующие надежные/особые сервисы (офисы банков, страховых компаний, медицинские и проч).


Читать дальше

Network: SDN (Cisco ACI, Cisco DNA, Open/Juniper Contrail, openflow, openstack)

SDN – Software Defined Networking

  • О Juniper contrail
  • openflow – по сути с контроллера на ноды транслируется набор правил match-action, где в качестве action может быть pass_to/drop/mirror/etc (по сути ACL c действиями)
  • Tungsten: vrouter на базе dpdk.
    • You can try run vrouter with dpdk.


Читать дальше

Системное программирование (C, C++, RUST)

  • Для отладки кода C, в том числе даже таких крупных проектов (напр. пропусков атак в них) как snort/suricata можно и нужно использовать отладчик GDB.
The GNU Debugger (GDB) is a portable debugger that runs on many Unix-like systems and works for many programming languages, including Ada, Assembly, C, C++, D, Fortran, Haskell, Go, Objective-C, OpenCL C, Modula-2, Pascal, Rust and partially others.


Читать дальше