Осторожно, вызывает зависимость идеального кабель-менеджмента 🔞

Segment Routing: Управление трафиком в сложных сетях

Segment Routing (SR) — это современный метод маршрутизации, который упрощает управление сетью и улучшает контроль над трафиком, особенно в сложных и крупных сетевых инфраструктурах.

Эта технология позволяет оператору задавать путь, по которому должен пройти пакет, без необходимости настройки состояния на каждом промежуточном узле.

Как работает Segment Routing?

В основе Segment Routing лежит концепция сегментов — идентификаторов, которые определяют отдельные участки пути.

Эти сегменты могут обозначать как конкретные узлы, так и абстрактные действия (например, выполнение определенной операции на маршрутизаторе).

Когда пакет поступает в сеть, маршрутизатор входа добавляет в него список сегментов, определяющий весь маршрут. 

Эти сегменты интерпретируются каждым последующим узлом, который просто направляет пакет на следующий сегмент без необходимости знать весь маршрут или хранить информацию о состоянии.

Основные компоненты Segment Routing:

⏺SRGB (Segment Routing Global Block): Набор глобальных идентификаторов сегментов, который используется всеми узлами в сети для интерпретации входящих сегментов.

⏺SID (Segment Identifier): Уникальный идентификатор сегмента. Может представлять узел (Node SID), путь (Adjacency SID), или более сложные структуры.

⏺Source Routing: Возможность оператора предопределять маршрут, по которому должен пройти пакет, путем задания последовательности сегментов. Это обеспечивает точный контроль над трафиком, обходя проблемные участки сети или используя оптимальные пути.

⏺Policy-Based Routing: Segment Routing позволяет создавать политики маршрутизации, которые могут динамически адаптироваться к изменяющимся условиям сети. Например, трафик может быть направлен по разным путям в зависимости от его типа или приоритета.

Протокол LISP (Locator/ID Separation Protocol)

LISP представляет собой инновационное решение для управления масштабируемыми и сложными сетевыми инфраструктурами.

Этот протокол разделяет идентификаторы устройств и их расположение в сети, что позволяет значительно упростить управление и повысить масштабируемость.

Как это работает?

⏺Идентификатор (ID): Уникальный постоянный идентификатор узла, который не меняется при перемещении в сети.
⏺Местоположение (Locator): Адрес, используемый для нахождения узла. Может изменяться в зависимости от сетевой топологии.

Преимущества использования LISP:

⏺Улучшенная масштабируемость за счет разделения идентификаторов и местоположений.
⏺Оптимизация маршрутизации и снижение нагрузки на маршрутизаторные таблицы.
⏺Упрощение миграций и перемещений узлов в сети.

N.A. ℹ️ Help

Настройка IP SLA для мониторинга сети

IP SLA предоставляет возможность не только мониторить ключевые параметры сети, но и оперативно выявлять узкие места и проблемы с производительностью.

Включение IP SLA на устройстве

Для начала необходимо войти в конфигурационный режим вашего маршрутизатора или коммутатора Cisco:

enable
configure terminal

Создание операции IP SLA

На этом этапе мы создадим операцию IP SLA, которая будет отслеживать состояние удаленного узла с помощью команды icmp-echo.

В данном примере мы проверяем доступность удаленного узла с IP-адресом 192.168.1.1:

ip sla 1
icmp-echo 192.168.1.1
frequency 60

ip sla 1: Создаем новую операцию с ID 1.
icmp-echo 192.168.1.1: Операция отправляет ICMP-запросы на IP 192.168.1.1 (аналог команды ping).
frequency 60: Операция будет выполняться каждые 60 секунд.

Настройка отслеживания временных меток

Для повышения точности измерений можно настроить отслеживание временных меток в операции:

ip sla 1
  tos 160
  threshold 100
  timeout 500

tos 160: Настраиваем значение TOS (Type of Service), что помогает отслеживать приоритетные пакеты в сети.
threshold 100: Задает предельное время отклика в миллисекундах. Если задержка превышает это значение, операция считается неуспешной.

Запуск операции

Теперь необходимо запустить созданную операцию:

ip sla schedule 1 start-time now life forever

• start-time now: Операция начинается сразу после настройки.
• life forever: Операция будет выполняться постоянно.

Настройка отслеживания объекта

Для того чтобы сетевая политика могла реагировать на изменения в результатах IP SLA, можно настроить отслеживание объекта:

track 1 ip sla 1 reachability

• track 1: Создаем объект отслеживания с ID 1.
• ip sla 1 reachability: Отслеживаем доступность узла через операцию IP SLA 1.

Мониторинг IP SLA

После настройки IP SLA можно просматривать статистику, чтобы отслеживать работу сети и доступность удаленного узла:

show ip sla statistics

Эта команда выводит полную статистику по выполнению операций SLA, включая количество успешных и неуспешных попыток, а также текущие значения задержки и потерь пакетов.

Настройка уведомлений

Чтобы быть в курсе сбоев в работе сети, можно настроить уведомления об изменении состояния объекта:

event manager applet SLA_alert
  event track 1 state down
  action 1.0 syslog msg "Warning: IP SLA operation 1 failed!"

Этот скрипт EEM отправляет сообщение в системный журнал, когда операция IP SLA терпит неудачу.

N.A. ℹ️ Help

Резервное копирование конфигов сетевого оборудования

rConfig — это бесплатное решение с открытым исходным кодом для резервного копирования конфигураций сетевого оборудования.

Оно помогает автоматизировать процесс создания бэкапов, что особенно полезно для крупных сетей, где вручную настраивать каждое устройство занимает много времени.

Программа работает на CentOS и требует минимальных ресурсов, что делает её доступной даже для небольших сетевых инфраструктур.

Основные требования

Минимальные требования к серверу:

- 100 GB свободного места на диске
- 1 GB оперативной памяти (рекомендуется 4 GB)
- Процессор Intel x86_64

Требования к ПО:

CentOS 7+
PHP 7+
MySQL 5.6+
Apache 2.4+
Браузеры: IE7+, Firefox 3.5+, Chrome 11+, Safari 3+, Opera 9.4+

Установка

Для начала нужно развернуть сервер с CentOS 7 и подключиться к нему через SSH. Далее скачиваем и запускаем скрипт установки:

cd /home
curl -O http://files.rconfig.com/downloads/scripts/install_rConfig.sh
chmod +x install_rConfig.sh
./install_rConfig.sh

Процесс установки займёт около 20-30 минут, после чего потребуется перезагрузка сервера и запуск пост-установочного скрипта:

/home/centos7_postReboot.sh

Настройка

Создание базы данных:

mysql -u root –p
GRANT ALL ON *.* TO 'username'@'localhost' IDENTIFIED BY 'password';
FLUSH PRIVILEGES;
CREATE DATABASE rconfig_db;

Открытие веб-интерфейса:

Перейдите по адресу https://yourhostname/install и следуйте инструкциям на экране для проверки ПО и настройки базы данных.

Добавление устройств

В веб-интерфейсе на вкладке Devices можно добавить сетевое устройство, указав его IP, логин, пароль и категорию.

Для авторизации можно использовать TACACS+ или RADIUS, либо ввести данные вручную. Если используется LDAP, его также можно интегрировать.

Автоматизация бэкапов

Для создания задания автоматического бэкапа переходим на вкладку Scheduled Task:

• Выбираем Download Configuration
• Настраиваем частоту выполнения (например, ежедневно)
• Указываем устройства или категорию

Система выполнит выбранные команды и отправит отчёты на e-mail в случае успеха или ошибки.

N.A. ℹ️ Help

NMS системы – полный контроль над сетью

Что такое NMS?

Network Management System (NMS) — это система управления локальной сетью компании, которая позволяет значительно упростить процесс конфигурации сетевых устройств, сбор и хранение информации о состоянии сети, а также проводить анализ работы и выявление проблем.

Система визуализирует данные в виде графиков и таблиц, предоставляя IT-отделу компании профессиональные инструменты для управления сетью.

Для чего нужна NMS?

В крупных компаниях, с множеством подключённых устройств, контроль и управление сетью без NMS крайне затруднительны.

Когда возникают проблемы, значительное время уходит на их обнаружение и устранение, что негативно сказывается на производственном процессе.

NMS позволяет свести эти трудности к минимуму.

Основные проблемы без NMS

⏺Медленное реагирование на проблемы. Без NMS сложно вовремя заметить и устранить неполадки.
⏺Затраты на диагностику.
До 30% времени инженеров тратится на поиск неисправностей.
⏺Отсутствие контроля доступа. Без NMS сложно предотвратить несанкционированные подключения к сети.

Преимущества использования NMS

⏺Постоянный мониторинг сети. Важные компоненты находятся под постоянным наблюдением.
⏺Своевременное информирование. Система быстро уведомляет о любых неисправностях.
⏺Визуализация сети. Единый графический интерфейс отображает всю сеть и её состояние.
⏺Устранение корневых причин. NMS помогает быстрее находить и устранять основные причины проблем.
⏺Удалённое управление. Возможность мониторинга и управления сетью удалённо.
⏺Анализ данных. Система хранит информацию о неисправностях, что помогает повышать надёжность сети.
⏺Безопасность. NMS выявляет несанкционированные подключения и снижает риск сбоев.

N.A. ℹ️ Help

Пассивные и активные сетевые атаки

Что такое пассивные атаки?

Пассивные атаки — это тип атак, при которых злоумышленник не вмешивается в работу сети, а только наблюдает за передаваемыми данными.

Цель таких атак — сбор информации, например, перехват пакетов с целью анализа содержимого или получения учетных данных. 

⏺Пример: атака типа sniffing, когда злоумышленник перехватывает трафик, не изменяя его.

Пассивные атаки сложно обнаружить, так как они не влияют на сетевые операции, но они могут быть первичной фазой для более серьёзных атак.

Активные атаки: когда происходят изменения

В отличие от пассивных, активные атаки предполагают вмешательство злоумышленника в работу сети.

Злоумышленник может изменять, перехватывать и подменять данные, либо даже разрушать коммуникации в сети.

⏺Пример активной атаки — man-in-the-middle (MITM), при которой атакующий не только перехватывает трафик, но и изменяет его в процессе передачи.

Основные методы защиты от атак

💬 Шифрование. Для защиты от пассивных атак важно использовать шифрование данных (например, SSL/TLS) для предотвращения перехвата конфиденциальной информации.
💬 Аутентификация и контроль целостности. Эти меры помогают защититься от активных атак, удостоверяясь, что данные приходят от доверенного источника и не были изменены.
💬 Мониторинг трафика. Регулярный анализ сетевого трафика поможет выявить аномалии, которые могут быть признаком активной атаки.

N.A. ℹ️ Help

Настройка протокола IS-IS

IS-IS — это мощный протокол маршрутизации, который широко используется в магистральных сетях.

Сейчас мы рассмотрим практические шаги по его настройке и работе, чтобы он мог работать эффективно и без сбоев.

Настройка IS-IS на маршрутизаторе

Первым делом нужно активировать IS-IS на маршрутизаторе. Вот пример базовой конфигурации для Cisco-маршрутизатора:

router isis
 net 49.0001.0000.0000.0001.00
 is-type level-1-2
 metric-style wide

NET (Network Entity Title) — уникальный идентификатор маршрутизатора, включающий номер области и системный ID.

is-type level-1-2 — активирует маршрутизацию как внутри одной области (Level 1), так и между разными областями (Level 2).
metric-style wide — позволяет использовать метрики более 63, что полезно для масштабных сетей.

Настройка интерфейсов для IS-IS

Теперь нужно активировать IS-IS на нужных интерфейсах:

interface GigabitEthernet0/0
 ip router isis

Эта команда активирует протокол IS-IS на данном интерфейсе, позволяя маршрутизатору обмениваться маршрутами с соседями.

Оптимизация метрик

Метрики в IS-IS можно настроить для разных интерфейсов, что влияет на приоритет выбора маршрута:

interface GigabitEthernet0/0
 isis metric 10

Здесь метрика для интерфейса установлена на 10, что может дать приоритет другим маршрутам с меньшими значениями метрик.

Включение поддержки IPv6

IS-IS также поддерживает маршрутизацию для IPv6.

Для этого добавьте следующую строку в конфигурацию интерфейса:

interface GigabitEthernet0/0
 ipv6 router isis

Теперь IS-IS будет использоваться для маршрутизации как IPv4, так и IPv6 на этом интерфейсе.

Агрегация маршрутов

Для минимизации таблиц маршрутизации на границе областей можно использовать агрегацию:

router isis
 summary-address 192.168.0.0 255.255.252.0

Делать продолжение?

N.A. ℹ️ Help

Настройка протокола IS-IS. Часть 2

Проверка и мониторинг сети

После настройки важно убедиться, что IS-IS работает корректно и соседние устройства связаны.

Вот несколько полезных команд для мониторинга:

Проверка соседей IS-IS:

show isis neighbors

Эта команда покажет статус всех соседей IS-IS, с которыми маршрутизатор установил связи.

Просмотр таблицы маршрутов IS-IS:

show ip route isis

Позволяет увидеть все маршруты, полученные через IS-IS, и их метрики.
Отображение базы данных состояния канала:

show isis database

Показывает базу данных IS-IS с информацией о состоянии сети, включая маршрутизаторы, подключённые через Level 1 и Level 2.

Тонкая настройка и диагностика

Если нужно более точно настроить или диагностировать работу IS-IS, воспользуйтесь следующими командами:

Трассировка маршрута через IS-IS:

traceroute isis 192.168.1.1

Отображает маршрут, по которому пакет передаётся через IS-IS сеть.

Просмотр детальной информации по соседям:

show isis adjacency detail

Выводит подробную информацию о состоянии соседей, включая уровень метрики и другие параметры связи.

IS-IS — это протокол маршрутизации, который, благодаря своей гибкости и возможности работы с большими сетями, широко используется в магистральных и провайдерских сетях.

🔥Правильная настройка, мониторинг и диагностика этого протокола позволяют эффективно управлять трафиком и повышать стабильность работы сети.

N.A. ℹ️ Help

Технология NFV

Сетевые виртуализированные функции (Network Functions Virtualization, NFV) — это технология, заменяющая традиционные физические устройства, такие как маршрутизаторы, коммутаторы и файрволы, виртуализированными версиями, которые работают на стандартных серверах.

Как это работает?

Вместо использования специализированного оборудования, NFV позволяет запускать сетевые функции в виде виртуальных машин (VM) или контейнеров на серверах стандартной архитектуры.

Программное обеспечение, управляющее этими функциями, имитирует работу физического устройства. 

Например, виртуализированный файрвол (vFW) может функционировать точно так же, как его аппаратный аналог, но он размещён в виртуальной среде.

Основной принцип заключается в том, что разные сетевые функции можно размещать на единой платформе и управлять ими централизованно.

В NFV используются технологии, такие как гипервизоры или контейнеры, чтобы изолировать разные функции друг от друга.

В сочетании с программно-определяемыми сетями (SDN), NFV помогает оптимизировать процессы маршрутизации, балансировки нагрузки и управления безопасностью.

Как это помогает?

⏺Упрощение управления: Администраторы могут централизованно управлять и обновлять сетевые функции с помощью программного обеспечения, не требуя физического вмешательства. Это упрощает масштабирование сети и внесение изменений — например, можно добавить новый виртуальный маршрутизатор за несколько минут без необходимости закупки и установки нового устройства.

⏺Быстрое развертывание: В традиционных сетях внедрение нового устройства может занимать много времени — от его физической установки до настройки. С NFV эти процессы значительно ускоряются, так как все операции происходят в программной среде.

⏺Гибкость: NFV позволяет динамически изменять конфигурации сетевых функций. Например, при изменении нагрузки на сеть можно быстро изменить параметры работы виртуальных маршрутизаторов или балансировщиков нагрузки, чтобы адаптироваться к новой ситуации. Это критически важно в 5G-сетях и облачных средах, где требуется постоянная адаптация.

N.A. ℹ️ Help

Zero Trust: что это?

Zero Trust (нулевое доверие) — это подход к сетевой безопасности, который исходит из принципа "никому не доверять, всегда проверять".

В традиционных сетях применялось разделение на "внешнюю" (недоверенную) и "внутреннюю" (доверенную) зоны, но в современном мире, с ростом киберугроз и удалённой работы, этого уже недостаточно.

Как работает Zero Trust?

В рамках Zero Trust каждый компонент сети — будь то устройство, пользователь или приложение — рассматривается как потенциально опасный. 

Суть подхода в следующем:

⏺Аутентификация: Каждый запрос доступа проверяется вне зависимости от того, находится ли запрос внутри сети или снаружи. Это подразумевает использование многофакторной аутентификации (MFA), чтобы убедиться, что пользователь или устройство действительно являются теми, за кого себя выдают.
⏺Микросегментация: В сети вводится микросегментация, при которой сегменты сети делятся на очень мелкие участки, и доступ к каждому из них регулируется отдельно. Таким образом, даже если злоумышленнику удалось проникнуть в один сегмент, его доступ к другим частям сети ограничен.
⏺Мониторинг и анализ: Система постоянно отслеживает активность внутри сети, анализируя подозрительные действия и поведение пользователей. Например, если пользователь внезапно начинает загружать большое количество данных, это может вызвать подозрение и запустить дополнительные проверки.
⏺Контроль доступа: Доступ предоставляется только тем ресурсам, которые необходимы для выполнения конкретных задач. Это принцип "минимальных привилегий", при котором доступ к данным и функциям ограничивается максимально возможным образом.

Как помогает Zero Trust?

• Защита от внутренних угроз: Даже если злоумышленник получил доступ к сети, Zero Trust минимизирует его возможность передвигаться по ней и наносить серьёзный ущерб.
• Управление удалённым доступом: В условиях удалённой работы и распределённых команд, Zero Trust обеспечивает безопасность доступа к ресурсам компании, независимо от местоположения пользователей.
• Меньше уязвимостей: Zero Trust не полагается на статичные границы сети, что делает её более устойчивой к атакам, которые используют уязвимости внутри сети.

N.A. ℹ️ Help

Настройка EtherChannel

EtherChannel — это технология, позволяющая объединить несколько физических каналов (например, Ethernet-порты) в один логический, что значительно увеличивает пропускную способность между устройствами и повышает отказоустойчивость сети.

Это особенно полезно в высоконагруженных сетях, где необходимо балансировать трафик и избегать перегрузок.

Настройка EtherChannel на Cisco

⏺Выбор интерфейсов: Объединяются несколько физических интерфейсов, которые будут частью одного логического канала. Все интерфейсы должны быть одинаковой скорости и дуплекса.

⏺Конфигурация каналов (Port Channel): Для начала выберите порты, которые будут включены в EtherChannel:

interface range gigabitEthernet 0/1 - 2

⏺Настройка режима агрегации: В зависимости от используемого протокола можно выбрать LACP (Link Aggregation Control Protocol) или PAgP (Port Aggregation Protocol).

Для LACP, используйте:

channel-group 1 mode active

Для PAgP:

channel-group 1 mode desirable

⏺Проверка статуса: Убедитесь, что EtherChannel настроен и работает корректно:

show etherchannel summary

Здесь вы увидите информацию о состоянии и конфигурации объединённых портов.

N.A. ℹ️ Help

Формат Type Length Value (TLV) в компьютерных сетях

Формат Type Length Value (TLV) широко используется для передачи данных в сетевых протоколах. Одним из примеров является протокол маршрутизации IS-IS, где TLV используется для упаковки информации о маршрутах и других параметрах сети.

TLV состоит из трёх основных компонентов:

• Тип (Type): Определяет, какой тип информации передается.
• Длина (Length): Указывает длину данных.
• Значение (Value): Сами данные, которые могут быть как фиксированной, так и переменной длины.

Пример использования TLV в IS-IS

В IS-IS каждый TLV может содержать информацию о различных версиях IP. Например:

• Тип 135: Передает информацию по IPv4, содержащую такие поля, как метрика и префикс.
• Тип 236: Похож на тип 135, но передает информацию по IPv6.

TLV позволяет передавать как данные фиксированной длины (например, метрику), так и данные переменной длины (например, префикс). Пример с IPv4 показывает, как префикс может иметь переменную длину в зависимости от данных, передаваемых в других полях TLV.

Гибкость TLV

Формат TLV предоставляет гибкость в передаче данных:

• Гибкость в форматировании: Протокол может адаптироваться, добавляя новые типы данных без необходимости изменения всей сети.
• Автономность данных: Каждый TLV является самостоятельным блоком информации, который можно легко использовать в других контекстах.

🔥 Формат TLV часто используется в сетевых протоколах, требующих гибкости в передаче данных между устройствами, минимизируя необходимость изменений и обеспечивая поддержку разных типов данных.

N.A. ℹ️ Help

Ошибки в компьютерных сетях: обнаружение и коррекция

При передаче данных по компьютерным сетям всегда есть вероятность возникновения ошибок.

Даже самые современные системы сталкиваются с физическими ограничениями среды, будь то интерференция в беспроводных сетях или повреждения кабелей в проводных.

Ошибки могут происходить по разным причинам, от электромагнитных помех до неисправности оборудования, и ключевой задачей является их обнаружение и обработка.

Обнаружение ошибок

Основная цель любой системы передачи данных — передать информацию без изменений.

Для этого необходимо обнаружить ошибки на этапе приема данных. Вот несколько популярных методов:

⏺Проверка четности (Parity Check). Это один из самых простых способов обнаружения ошибок. Он добавляет к данным бит четности, который делает общее количество "1" либо четным, либо нечетным. Если число "1" в полученных данных не соответствует ожидаемому (например, четному количеству), то система понимает, что произошла ошибка. Однако этот метод имеет ограничения — он способен обнаруживать только одиночные ошибки, но не многобитовые сбои.

⏺Циклическая проверка избыточности (CRC). CRC — это более сложный метод обнаружения ошибок, основанный на делении полиномов. Этот алгоритм может выявлять более сложные и многобитовые ошибки. На отправляющей стороне данные проходят через генератор полинома, а на принимающей стороне осуществляется обратная проверка, что делает этот метод очень надёжным.

Действия при обнаружении ошибок

Обнаружить ошибку — это лишь первый шаг. Далее важно решить, как с ней справиться. Существует несколько подходов:

1️⃣Игнорирование ошибки и продолжение передачи. В реальном времени, например, при потоковой передаче видео или аудио, поврежденные пакеты могут быть проигнорированы, чтобы не нарушать поток данных. Однако для критичных данных такой метод не применим.

2️⃣ Запрос повторной отправки данных. Если ошибка обнаружена, приёмник может запросить у отправителя повторную отправку испорченного пакета. Это наиболее распространённый способ для надёжных соединений, например, в банковских системах или для передачи файлов.

3️⃣ Прямая коррекция ошибок (FEC). Вместо того чтобы запрашивать повторную отправку, некоторые системы способны корректировать ошибки на месте. Примером является код Хэмминга, который позволяет не только обнаружить, но и исправить одиночные ошибки. За счёт заранее вычисленных контрольных битов система может найти повреждённый бит и восстановить данные без необходимости повторной передачи.

Пример: код Хэмминга

Код Хэмминга — это классический алгоритм для обнаружения и исправления ошибок. Он использует несколько контрольных битов, которые размещаются в определённых позициях внутри блока данных.

Если ошибка происходит, код Хэмминга может точно определить, какой бит был изменён, и исправить его. Это позволяет избежать лишних задержек, связанных с повторной передачей данных.

N.A. ℹ️ Help

Сканер для поиска уязвимостей в Kubernetes

Kubei используется для оценки непосредственных рисков в кластере Kubernetes.

Большая часть Kubei написана на языке программирования Go. Он охватывает все эталонные тесты CIS для Docker.

Он сканирует все образы, используемые кластером Kubernetes, прикладные и системные модули и т.д.

Вы получаете несколько вариантов настройки сканирования с точки зрения уровня уязвимости, скорости сканирования, области сканирования и т.д.

С помощью графического интерфейса можно просмотреть все уязвимости, обнаруженные в кластере, и способы их устранения.

Основные характеристики Kubei:

⏺Сканер уязвимостей среды выполнения Kubernetes с открытым исходным кодом
⏺Проверяет общедоступные образы, размещенные в реестре
⏺Предоставляет состояние работоспособности кластера в режиме реального времени
⏺Веб-интерфейс пользователя для визуализации сканирований
⏺Предоставляет несколько пользовательских параметров для сканирования

Протокол OSPFv3: Расширенное маршрутизационное решение для IPv6

OSPFv3 (Open Shortest Path First version 3) — это улучшенная версия протокола OSPF, созданная для работы с сетями IPv6.

Он предоставляет возможности динамической маршрутизации и решает проблемы маршрутизации в сетях с большим количеством маршрутов.

В отличие от предыдущей версии OSPFv2, OSPFv3 может работать не только с IPv4, но и с IPv6, что делает его ключевым для современных сетей.

OSPFv3 обеспечивает распределённую маршрутизацию с автоматической адаптацией к изменению состояния сети.

Основные задачи протокола включают:

⏺Обнаружение лучших маршрутов: Протокол находит кратчайший путь на основе алгоритма Дейкстры, используя метрику стоимости для выбора наилучшего маршрута.
⏺Поддержка IPv6: OSPFv3 разработан для работы в средах с адресами IPv6, но также может поддерживать IPv4.
⏺Масштабируемость и гибкость: Протокол эффективно работает как в малых, так и в крупных сетях.

Работа OSPFv3 на практике

Реализация OSPFv3 включает несколько ключевых этапов. Вот краткая инструкция по настройке OSPFv3 на маршрутизаторе Cisco:

Настройка идентификатора маршрутизатора: Протокол использует 32-битный идентификатор, который назначается вручную или автоматически из IPv4-адреса.

Router(config)# router ospfv3 1
Router(config-router)# router-id 1.1.1.1

Активация OSPFv3 для интерфейса: На интерфейсе активируется поддержка OSPFv3, чтобы маршрутизатор мог участвовать в обмене маршрутной информацией.

Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ospfv3 1 ipv6 area 0

Объявление сетей в OSPFv3: В OSPFv3 сети не объявляются через глобальные команды, как в OSPFv2. Вместо этого используется привязка к интерфейсам.

Router(config)# interface GigabitEthernet 0/2
Router(config-if)# ospfv3 1 ipv6 area 0

Проверка состояния OSPFv3: После настройки важно убедиться, что маршрутизация работает корректно.

Router# show ospfv3 neighbor

Особенности OSPFv3

OSPFv3 имеет несколько ключевых отличий от OSPFv2:

• Модель данных: OSPFv3 обрабатывает маршруты для IPv6 отдельно от маршрутов для IPv4, что даёт лучшую гибкость при переходе на IPv6.
• Изолированные области (Areas): OSPFv3 позволяет организовывать сеть в логические области, минимизируя нагрузку на маршрутизаторы и увеличивая масштабируемость сети.
• Автономная маршрутизация: OSPFv3 адаптируется к изменениям в сети, автоматизируя маршрутизацию, что позволяет избегать проблем с ручной настройкой маршрутов.

lnav — супернедооценённый инструмент для работы с логами

В мире системного администрирования и DevOps уже давно существуют крупные системы для централизованного сбора и анализа логов, такие как ELK/EFK, Graylog и Loki.

Однако иногда требуется быстрый и простой способ работы с текстовыми логами прямо на сервере. 

В таких ситуациях отлично подходит lnav.

lnav — это не просто продвинутая альтернатива таким утилитам, как grep, tail, и awk, но полноценная система для анализа и визуализации логов с множеством полезных функций.

Основные возможности

⏺Позитивные и негативные фильтры: Вы можете включать и отключать фильтры, чтобы сосредоточиться на нужной информации. Поддержка регулярных выражений позволяет, например, быстро находить залогированные запросы, время выполнения которых превышало заданный порог.
⏺Удобная навигация: lnav предоставляет VIM-подобную навигацию (HJKL, gg, G) для быстрого перемещения по логам, а также переход к ошибкам по нажатию клавиши.
⏺Подсветка синтаксиса и темизация: Программа поддерживает синтаксическую подсветку логов различных форматов (JSON, XML и другие), а также настройку тем для более удобной работы с большими файлами.
⏺График статистики: Позволяет визуализировать данные логов на временной шкале с цветовой индикацией ошибок и предупреждений.
⏺Определение логлевела: Удобно фильтровать записи по критичности, сосредотачиваясь на самых важных.
⏺Множественные форматы логов: lnav одновременно поддерживает несколько форматов логов, позволяя анализировать данные из различных источников с индивидуальной подсветкой для каждого формата.
⏺Внутренний SQL: Перевод логов в SQLite базу даёт возможность выполнять SQL-запросы для анализа и сортировки данных.
⏺Работа с SQL-запросами в логах: lnav способен обрабатывать многострочные SQL-запросы, выводя полные записи при фильтрации.
⏺Объединение записей по времени: Инструмент объединяет записи с разными форматами времени на одной временной шкале, что помогает увидеть полную картину происходящего.
⏺Экспорт данных: Возможность экспорта отфильтрованных данных в текст, JSON или CSV для дальнейшего анализа.

Недостатки

➖ Использование оперативной памяти: lnav загружает весь лог в память, что может быть проблемой при работе с большими файлами.
➖ Высокий порог входа: Для полного использования возможностей программы требуются знания SQL и больше, чем просто регулярные выражения.
➖ Может падать на больших объёмах данных: При анализе очень больших логов иногда возникают сбои.

N.A. ℹ️ Help

Проверка уязвимости сервера Linux с помощью OpenVAS

Каждый день в цифровом мире появляются новые уязвимости, и администраторы часто слишком заняты, чтобы обращать внимание на очевидные проблемы безопасности.

Сканирование сервера Linux на наличие уязвимостей — это задача, требующая правильного подхода. 

Для этого существует множество инструментов, и один из самых эффективных — OpenVAS.

Что такое OpenVAS?

OpenVAS (Open Vulnerability Assessment Scanner) — это открытая система для оценки уязвимостей. Она предоставляет удобный интерфейс и набор тестов, который обновляется ежедневно, позволяя быстро выявлять уязвимости в программном обеспечении.

Например, если ваша система использует уязвимую версию программного обеспечения, как, например, VSFTPD v2.3.4, OpenVAS сразу покажет это, позволив вам оперативно устранить проблему.

Установка OpenVAS

Для большинства дистрибутивов Linux OpenVAS доступен через пакетные менеджеры. Чтобы установить его на Ubuntu, выполните следующие команды:

sudo add-apt-repository universe
sudo apt update
sudo apt install openvas

Установка может занять некоторое время, после чего вы получите код доступа для системного администратора — храните его в безопасности.

Использование OpenVAS

После установки OpenVAS нужно настроить и запустить для сканирования вашего сервера.

Управление пользователями

Чтобы создать нового пользователя или изменить пароль существующего, используйте команды:

openvasmd --create-user=<user>
openvasmd --user=<user> --new-password=<password>

Запуск и остановка OpenVAS

Запустите сканер с помощью команды:

sudo openvas-start

Чтобы остановить его, выполните:

sudo openvas-stop

После запуска веб-интерфейс будет доступен по адресу https://localhost:9392. Пройдите по ссылке и примите самозаполняющийся сертификат, чтобы получить доступ к панели управления.

Сканирование и отчеты

На панели управления OpenVAS можно управлять сканированием и просматривать результаты:

• Задачи: Создание и запуск нового сканирования.
• Отчеты: Просмотр информации по завершённым сканированиям.
• Результаты: Подробные результаты с указанием критичности уязвимостей. Это поможет вам определить меры по защите системы.

Настройка автоматического обновления

По умолчанию результаты сканирования не обновляются автоматически. Вы можете изменить этот параметр и выбрать интервал обновления: 30 секунд, 1, 2 или 5 минут.

N.A. ℹ️ Help

Углубленная работа с OpenVAS

Теперь, когда вы настроили и запустили OpenVAS, давайте рассмотрим дополнительные возможности, которые помогут вам более эффективно управлять безопасностью ваших серверов.

Настройка сканирования

Чтобы добиться максимальной точности, вы можете настраивать сканирование под конкретные потребности вашего сервера:

1️⃣ Создание нового задания для сканирования: В разделе Tasks нажмите "Create Task" и задайте параметры. Вы можете выбрать:
• Диапазон IP-адресов для сканирования.
• Определить тип проверки: быстрый обзор, полный скан или выборочный.
• Настроить расписание для автоматических регулярных сканирований.

2️⃣ Профили сканирования: OpenVAS предоставляет различные профили сканирования, которые можно настроить в зависимости от ваших нужд:
• Full and fast: Полное сканирование с акцентом на скорость.
• Host Discovery: Быстрая проверка доступности хоста.
• System Discovery: Определение запущенных служб и программ.

Анализ отчётов

Когда сканирование завершено, переходим к самому важному — анализу отчётов:

⏺Отчёты с оценкой критичности: В разделе Reports вы можете увидеть не только список обнаруженных уязвимостей, но и оценку их критичности (например, "High", "Medium", "Low"). Это поможет вам расставить приоритеты в устранении уязвимостей.
⏺Рекомендации по исправлению: В отчётах OpenVAS предоставляются конкретные рекомендации для устранения проблем. Например, если обнаружена уязвимость в старой версии Apache, вам будет предложено обновить его до более защищённой версии.
⏺Экспорт отчётов: Вы можете экспортировать результаты сканирования в разные форматы, такие как PDF, HTML или XML, чтобы делиться ими с коллегами или использовать для дальнейшего анализа.

Дополнительные функции OpenVAS

1️⃣Настройка обновлений базы данных: Для обеспечения актуальности данных о уязвимостях, OpenVAS использует NVT (Network Vulnerability Tests), которые обновляются ежедневно. Вы можете настроить автоматические обновления базы данных через веб-интерфейс, чтобы всегда использовать последние тесты.
2️⃣Аутентифицированное сканирование: OpenVAS позволяет настроить сканирование с аутентификацией, что даёт возможность более глубокого анализа системы, включая проверки, доступные только с определёнными правами доступа.

Для этого нужно:

Добавить учётные данные в разделе Credentials.
Применить их к конкретным задачам сканирования, чтобы OpenVAS мог выполнить вход на проверяемую систему и более детально проанализировать её состояние.

Интеграция OpenVAS с другими инструментами

Многие администраторы предпочитают интегрировать OpenVAS с другими системами для более удобного управления безопасностью:

Nagios: Можно настроить интеграцию с системой мониторинга Nagios, чтобы получать уведомления о найденных уязвимостях в режиме реального времени.

Splunk: Интеграция с Splunk поможет вам собирать логи сканирования и анализировать их в масштабируемой системе анализа данных.

N.A. ℹ️ Help

Протокол BGP-LS

BGP-LS (Border Gateway Protocol - Link State) — это расширение классического протокола BGP, которое позволяет собирать и распространять информацию о топологии сети.

Оно создано для интеграции с программно-определяемыми сетями (SDN) и широко применяется в сетях провайдеров и крупных дата-центрах, где требуется высокая гибкость и контроль над маршрутами.

Зачем нужен BGP-LS?

BGP-LS используется для передачи детальной информации о состоянии сетевых каналов и узлов в контроллеры SDN, которые могут использовать эти данные для оптимизации маршрутов, управления трафиком и повышения отказоустойчивости сети.

Традиционный BGP передает информацию только о достижимости сетей, но не о топологии. BGP-LS решает эту проблему.

BGP-LS позволяет:

1️⃣Централизованное управление маршрутизацией. Контроллер SDN получает информацию о сети через BGP-LS и использует ее для динамической маршрутизации трафика.
2️⃣Оптимизация и мониторинг сети в реальном времени. Используя данные о пропускной способности, загрузке и задержках, можно оптимизировать маршруты в зависимости от текущей ситуации в сети.
3️⃣Интеграция с MPLS-TE и SR (Segment Routing) для сложных сценариев управления трафиком.

Как работает BGP-LS?

BGP-LS передает информацию о топологии сети с использованием стандартных сообщений BGP, добавляя в них данные о:

⏺Состоянии каналов связи (Link-State),
⏺Пропускной способности каналов,
⏺Текущей загрузке маршрутов.

Эта информация собирается из протоколов динамической маршрутизации, таких как OSPF и IS-IS, и передается через сессии BGP в контроллер SDN.

Контроллер использует полученные данные для построения полной карты сети, что позволяет ему лучше управлять трафиком.

Делать продолжение с теорией и настройкой?

N.A. ℹ️ Help