Голосование

Пожалуйста, поделитесь Вашим мнением. Оно очень важно для нас и может помочь многим. Всего 2 вопроса и не более 3-х ответов на каждый из них. Вы также можете добавить и свой собственный вариант ответа. Это займет около 1 минуты.

Какие темы и курсы были бы Вам интересны в первую очередь?
  • Добавить свой ответ

Укажите не более 3-х пунктов.

© Kama

В каком формате Вам было бы наиболее удобнее проходить обучение?
  • Добавить свой ответ

Укажите не более 3-х пунктов.

© Kama

Спасибо за Ваше время и мнение!

Сетевая безопасность: Техника обхода списков доступа ACL

Как Вы уже убедились в предыдущих заметках из серии «Сетевая безопасность», списки доступа ACL не могут гарантировать полную защиту от несанкционированного доступа к сети. Это достигается лишь комплексом различных мер.

В этой заметке рассмотрим одну из особенностей работы списков доступа с фрагментированными IP пакетами.

По умолчанию, протокол IP разрешает фрагментацию пакетов, что открывает достаточно большое число давно известных уязвимостей.

Откуда берутся фрагментированные пакеты?

TCP/IP Encapsulation

Когда пакеты протокола сетевого уровня L3 (IP) модели OSI слишком большие, чтобы передать их одним фреймом на уровне L2 (Data Link), они разбиваются на более мелкие фрагменты.

Читать далее

Сетевая безопасность: IOS Firewall — Content-Base Access-Control (CBAC)

В предыдущей заметке мы познакомились с рефлексивными списками доступа Reflexive ACL, позволяющими реализовать базовые функции межсетевого экрана с отслеживанием состояний сессий — Stateful Firewall.

Дальнейшим развитием этой технологии стал CBAC, который представляет собой уже полноценный межсетевой экран и поддерживает инспекцию протоколов прикладного уровня.

Идея CBAC состоит в инспекции информации в проходящем через маршрутизатор трафике, специфичной для каждого из поддерживаемых протоколов и разрешение ответного трафика в списке доступа ACL, работающем в противоположном направлении.

CBAC

Согласитесь, это очень похоже на Reflexive ACL, но только в CBAC выполняется более глубокая инспекция, затрагивающая не только общие протоколы TCP/UDP/ICMP, но и протоколы прикладного уровня, такие как FTP, HTTP, ESMTP, DNS и многие другие.

Читать далее

Сетевая безопасность: Рефлексивные списки доступа Reflexive ACL

В предыдущих заметках были вкратце рассмотрены обычные списки доступа, списки, срабатывающими в заданное время Time-Based ACL и динамические списки доступа Dynamic ACL.

Здесь же разберем еще один интересный вид ACL, частично выполняющий функции примитивного межсетевого экрана с отслеживанием состояний сессий (Stateful Firewall).

С помощью Reflexive ACL маршрутизатор может отслеживать инициируемые TCP/UDP/ICMP сессии и автоматически разрешать ответный трафик в рамках этих сессий, открывая динамические правила в списке доступа, примененном в обратном направлении.

Для функционирования такого базового межсетевого экрана помимо самого Reflexive ACL, требуются еще два расширенных (extended) списка доступа, работающих в разных направлениях. Они могут быть на одном и том же интерфейсе (направление действия in/out), либо на двух различных (направление действия in/in).

Один список доступа служит для отслеживания исходящих сессий, а второй для блокировки входящих соединений и создания в нем динамических правил для зеркального входящего трафика.

Ключевые слова, используемые в Reflexive ACL – это reflect для исходящего трафика и evaluate для входящего.

Reflexive ACL

Читать далее

Сетевая безопасность: Динамические списки доступа Dynamic ACL (Lock & Key)

Ранее мы ознакомились с обычными списками доступа и списками, срабатывающими в заданное время — Time-Based ACL.

Есть еще один довольно любопытный тип списков доступа – это динамические списки Dynamic ACL. Или как их еще называют – «Lock & Key», «Замок и Ключ».

Как они работают? В список доступа вставляется динамическое правило, которое активируются лишь после подключения пользователя к маршрутизатору по telnet и его авторизации.

Хочу заметить, что такой функционал доступен только в расширенных (extended) списках доступа и допускается только одно динамическое правило для каждого ACL.

Ключевой командой, активирующей динамические правила во всех списков доступа после подключения и авторизации пользователя является access- enable.

Читать далее

Сетевая безопасность: Списки доступа Time-Based ACL

В предыдущей заметке я напомнил про типы и основные принципы работы обычных списков доступа ACL.

Идем дальше, и теперь вкратце рассмотрим следующую разновидность списков доступа – это Time-Based ACL.

Они позволяют включать отдельные правила в списке доступа в определенный временной интервал и заданные дни недели.

Этот функционал поддерживается только в расширенных (extended) списках доступа

При создании Time-Based ACL сначала необходимо описать временной интервал time-range, в рамках которого будет срабатывать требуемое правило. В IOS используется 24-х часовой формат.

Читать далее

Сетевая безопасность: Обычные списки доступа ACL

Начну с обзора такого традиционного способа защиты ресурсов сети, как обычные списки доступа ACL.

Они позволяют фильтровать проходящий через маршрутизатор транзитный трафик, также трафик к самому маршрутизатору, в зависимости от способа их применения.

Например, мы можем открыть доступ к Web серверу в локальной сети по HTTP/HTTPS, разрешив в списке доступа на входном интерфейсе Gi0/0 порты TCP/80 и TCP/443.

ACL-HTTP-SSH

Если же нам надо обеспечить доступ к маршрутизатору по SSH, то можно воспользоваться ACL на линиях VTY.  Конечно же, есть и другие способы защиты от трафика, адресованного к самому маршрутизатору, например Control-Plane Protection (CPP) c помощью Control-Plane Policing (CoPP), но заметка не об этом.

Читать далее

Год 2018: Новые технологии и тенденции

Цитата

Вот и наступил Новый 2018-й год, отшумели праздники, отгремели канонады ночных фейерверков, и жизнь снова возвращается в свое привычное русло.

Точнее, скажем так, Новый Год практически наступил. Я давно уже не следую заветам Ильича, КПСС и Правительства, когда и что надо делать, что должно наступать, и когда что праздновать.

Скорее, следую естественному ходу природных явлений, движению планет, Солнца и Луны. И в данном случае, Восточному календарю. Так что, реально 2018-й год начнется только 16 февраля.

Позади месяц путешествий по Индии, горячий 30-градусный океан, старый добрый Гоа и дивный, уже практически родной за 15 лет ежегодных поездок Арамболь.

Goa, Arambol

Ну а в Москве, все же наступила настоящая снежная русская зима.

Moscow's winter 2018

И я с одинаковым удовольствием наслаждаюсь и горячим океаном, и глубоким снегом 🙂

Sauna day

Наконец, удалось выкроить немного свободного времени и дошли руки слегка привести в порядок блог. Это первый пост с 2016 года, и призван он оживить общение, добавить интерактивности, а так же напомнить о существовании проекта LearnCisco.Ru и облегчить обратную связь.

Теперь еженедельно я буду публиковать здесь полезную для ИТ-шников информацию и новости.

Так же существенно упрощен механизм общения в блоге, вы можете оставлять комментарии и задавать вопросы, не регистрируясь. Достаточно лишь указать ваше имя и e-mail при отправке комментариев.

А чтобы оперативно получать новости, пожалуйста, оформите подписку по этой ссылке.

Что же касается собственно темы и сути этого поста — «Новые технологии и тенденции», то сейчас стали особенно актуальны вопросы информационной безопасности. Многие реально пострадали и от WannaCry, и от Пети / Не Пети.

Поэтому, в ближайших выпусках вопросам сетевой безопасности я уделю особое внимание.

Из тенденций, в первую очередь, просматривается всеобщая виртуализация всех и вся, а также активное использование Облаков.

С точки зрения ИТ-шника, я бы порекомендовал внимательно присмотреться к проекту EVE-NG, позволяющему легко собрать собственную виртуальную лабораторию, включающую как виртуальное сетевое оборудование различных производителей, так и виртуальные машины с различными операционными системами, например Window, Linux.

Если лень собирать самому, то вы всегда можете арендовать уже готовую лабораторию. Список лабораторных работ постоянно пополняется. Подробнее об онлайн лаборатории проекта LearnCisco.Ru и ее возможностях можно посмотреть по этой ссылке.

Проект EVE-NG  по предлагаемым возможностям, стабильности и удобству работы уже давно оставил далеко позади GNS3.

Такие известные ИТ тренеры мирового уровня, как Narbik, Terry Vinson, Anthony Sequiera уже сегодня используют EVE-NG при проведении своих живых классов и записи учебных видео курсов. И это только начало.

Проект EVE-NG предлагает такие варианты продуктов:

  • EVE-NG Community Edition – бесплатный полнофункциональный релиз
  • EVE-NG Professional Edition – платный расширенный профессиональный релиз с дополнительными возможностями и годовой подпиской (персональной лицензией)
  • EVE-NG Learning Center Edition – платная профессиональная версия для учебных центров

Сравнение основных возможностей:

Мой следующий видео курс будет посвящен именно EVE-NG: установке, настройке и практической работе.

Вот, пожалуй, пока и все. Спрашивайте, комментируйте, предлагайте. И не забудьте подписаться на рассылку, чтобы первыми узнавать все новинки.

P.S.
Кстати, на днях я запускаю серию писем с материалами по сетевой безопасности, не пропустите!

Новая версия GNS3 v1.4.3 — первые впечатления

В середине января 2016 года проектом GNS3 был выпущен новый релиз эмулятора GNS3 v1.4.0, а в первых числах февраля уже сразу несколько версий v1.4.1 — v1.4.3.

В этой статье я постараюсь кратко пробежаться по его основным отличиям от предыдущей линейки версий 1.3.x, и дать некоторые практические рекомендации.

Более подробно все это будет разобрано в ближайшем обновлении видео курса «Домашняя Лаборатория Cisco за 1 День — 2015!». Для покупателей версии 3.0 это обновление будет доступно бесплатно, и я всех персонально оповещу о его готовности. А пока что, самое важное!

Читать далее ›

Обновленная версия курса «Домашняя Лаборатория Cisco за 1 День – 2015!» v.3.1

Выпущен новый релиз видео курса – версия v3.1 от Февраля 2016 г. В состав обновления входят:

  • Запуск виртуального межсетевого экрана ASAv в GNS3 v1.3.13
  • Практические советы и рекомендации по установке и работе с новой линейкой версий GNS3 v1.4.x

Смотреть полное описание >