👋 Привет, сетевой друг!

Давайте разберем, что за устройства DCE и DTE.

🟣DCE (Data Communication Equipment) — это устройство провайдера (например, модем или тот же CSU/DSU), которое управляет скоростью канала и передает данные.

🟣DTE (Data Terminal Equipment) — это уже клиентское устройство (обычно маршрутизатор), которое принимает или отправляет данные через DCE.

🟣Когда роутер — и DTE, и DCE: На практике вы можете подключить сразу два маршрутизатора напрямую через serial-кабель. Здесь один роутер берет на себя роль DCE, а другой — DTE.

Как узнать, кто кем стал? Да просто надо ввести команду:

Router1#show controllers serial 2/0  

Если в выводе видите DCE V.35, значит, этот маршрутизатор выполняет роль DCE, а второй — DTE.

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Сегодня займемся настройкой serial-интерфейсов.

🟣Настраиваем скорость на DCE: Если маршрутизатор выполняет роль DCE, ему нужно задать скорость соединения. Без этого работать ничего не будет. Делается это так:

Router1#conf t  
Router1(config)#int se 2/0  
Router1(config-if)#clock rate 64000  

И да, на интерфейсах DTE команда clock rate не работает, поэтому проверьте, что задаете её только на DCE-устройстве.

🟣Диагностика подключения: Чтобы быть уверенным, что кабели подключены правильно, и роли распределены корректно, введите:

Router1#show controllers serial 2/0  

Эта команда покажет, к какому типу интерфейса подключен кабель (DTE или DCE).

🟣Финальная проверка: смотрим, активны ли интерфейсы:

Router1#show ip interface brief  

Если всё в порядке, соединение готово, и можем переходить к маршрутам.

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Сегодня расскажу о старом протоколе Gopher, его истории появления и что с ним сейчас.

🟣Что такое Gopher: Gopher был простым текстовым протоколом, который позволял пользователям искать и скачивать файлы через интернет. Это был своего рода "ранний веб" с меню, через которое можно было переходить по ссылкам и получать нужную информацию. Работал Gopher по принципу клиент-сервер, как и современный интернет, но без сложных интерфейсов.

🟣Почему ушел: С ростом популярности WWW, а также из-за кучи технических и юридических проблем (например, платные лицензии на серверы), Gopher стал терять популярность. В 1994 году его популярность начала падать.

🟣Что с ним сейчас: Некоторые энтузиасты до сих пор поддерживают серверы Gopher, и в теории можно зайти на страницы через curl или установить клиент для просмотра контента. Например, если зайти по ссылке gopher://gopherddit.com:70.

Серверная Админа | #Gopher

- Переход на новую сеть пройдет быстро и легко
- Когда это закончится…

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте TraceWrangler

🟣TraceWrangler — крутейший инструмент для редактирования и анонимизации сетевых дампов в форматах PCAP и PCAPng. Он идеально подходит для работы с данными, полученными через Wireshark или TCPDump, позволяя удалять или заменять не самую публичную инфу

🟣Фишки: он позволяет редактировать большие объемы данных. Вы можете убрать ненужные протоколы (к примеру, MPLS или GRE), объединить файлы с нескольких интерфейсов, фильтровать фреймы, а также извлекать отдельные разговоры для дальнейшего анализа.

🟣И да, плюсом TraceWrangler помогает детально собирать информацию о сессиях IP, TCP и UDP, а также предоставляет доступ к структуре PCAPng-файлов.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Разберем, как настроить Site-To-Site IPsec VPN туннель

🟣Что такое IPSec VPN: это протокол, который гарантирует, что всё, что ты передаешь по сети, защищено. Для создания Site-To-Site VPN туннеля используется два маршрутизатора, которые через интернет устанавливают защищённое соединение, шифруя трафик.

🟣Итак, как это работает: Для установки туннеля нам нужно выполнить два этапа:
• Фаза 1 (ISAKMP/IKE) — создаём безопасный канал для обмена ключами.
• Фаза 2 (IPSec) — защищаем сам трафик, шифруем данные и обеспечиваем их целостность.

🟣Что 100% нужно для настройки: во-первых, это Статический публичный IP-адрес для обоих маршрутизаторов. И конечно, сами маршрутизаторы, которые поддерживают ISAKMP и IPSec.

Звучать может чуть сложновато, но в следующем посте покажу, как это делать на практике.

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Смотрим на практике, как настроить Site-To-Site IPsec VPN туннель

🟣Разделим процесс, условно на две фазы. Начнем с первой: создаем защищённый канал для обмена ключами

На Роутере 1:

R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400
R1(config)# crypto isakmp key merionet address 1.1.1.2

На Роутере 2:

R2(config)# crypto isakmp policy 1
R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400
R2(config)# crypto isakmp key merionet address 1.1.1.1

Тут мы задали алгоритм шифрования (3DES), хеширования (MD5) и метод аутентификации с предварительным ключом.

🟣Теперь вторая фаза: настройка шифрования

На Роутере 1:

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC
R1(config)# interface FastEthernet0/1
R1(config-if)# crypto map CMAP

На Роутере 2:

R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# match address VPN-TRAFFIC
R2(config)# interface FastEthernet0/1
R2(config-if)# crypto map CMAP



Теперь у нас настроен список доступа (ACL) для определения трафика, который проходит через VPN, плюсом задано шифрование и применена конфигурация к интерфейсу.

🟣Проверим VPN-туннель напоследок:

R1# ping 20.20.20.1 source fastethernet0/0
R1# show crypto session

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Сегодня расскажу о протоколе NTP и о том, для чего он нужен.

🟣Что такое NTP: это протокол, который гарантирует синхронизацию времени на всех устройствах в сети. Почему это важно? Без точного времени многие системы и процессы просто не смогут работать.

🟣Кстати, сам протокол был создан ещё в 1985 году и до сих пор остаётся основным способом синхронизации времени в сетях.

🟣И как это работает: NTP использует модель клиент-сервер. Устройства-клиенты отправляют запросы на получение времени от серверов, которые получают его от высокоточнных источников (например, атомных часов). Работает все буквально, как часы: серверы создают иерархию, где каждый уровень зависит от более точных источников времени.

🟣Как проходит синхронизация: Процесс выглядит так: устройства обмениваются небольшими пакетами с метками времени, которые помогают вычислить любые задержки в сети. После этого они корректируют свои часы уже с учётом сетевых задержек.

Серверная Админа | #NTP

📝 Держите классную шпаргалку по портам и протоколам

Серверная Админа | #шпаргалка

👋 Привет, сетевой друг!

Расскажу, как научиться работать с сетями.

🟣Если хочется не сидеть на месте, а активнее изучать то, как строятся стабильные, и что важно, безопасные сети, этот курс — лучший старт. Он охватывает вообще всё, что нужно для понимания всех основ коммутирования и маршрутизации.

🟣В курсе тебя ждут 100 тестов для закрепления теории, 20 лабораторных работ для практики и даже один проект, который позволит применить полученные знания прямо в реальных условиях. И да, все это основано на Cisco CCNA.

🟣А если вдруг возникнут вопросы — не переживай! Круглосуточная поддержка всегда рядом.

Ссылка на курс тут: https://stepik.org/a/227855

Группа с поддержкой, если возникнут трудности: https://t.me/Networks_anyone

Серверная Админа | #безопасность

Самое важное правило сетевиков:

"Работает - не трогай"

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Ostinato

🟣Ostinato — такой универсальный "пакетный крафтер", редактор pcap и генератор трафика с удобным интерфейсом. В целом он отлично подходит для различных нужд — от создания и редактирования пакетов до их воспроизведения.

🟣Из фишек инструмента: к примеру, Ostinato поддерживает создание трафика с высокой скоростью до 10/25/40G, а также интеграцию с Python для автоматизации. Платформы, на которых работает — Windows, MacOS и Linux, а также виртуальные среды типа CML, EVE-NG и GNS3.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Расскажу, как правильно установить и сразу настроить NTP-сервер.

🟣Установка пакета NTP: Начнем с установки самого пакета ntp. Для этого откроем терминал и выполним:

$ sudo apt update && sudo apt install ntp

С этим сервер сможем синхронизировать время с внешними источниками.

🟣Запуск службы NTP: После установки нужно запустить службу NTP:

$ sudo service ntp start

🟣Настройка конфигурации: Откроем файл конфигурации /etc/ntp.conf, чтобы настроить серверы для синхронизации. Выполни команду:

$ sudo nano /etc/ntp.conf

Для улучшенной синхронизации с российскими серверами, заменим стандартные сервера на:

server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst prefer
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

Опция iburst ускоряет синхронизацию, а prefer делает один из серверов приоритетным для синхронизации.

🟣Перезапуск NTP-сервера: После внесения изменений, перезапустим службу, чтобы новые настройки вступили в силу:

$ sudo service ntp restart

🟣Безопасность NTP-сервера: Теперь можем позаботиться о безопасности (куда без неё). NTP-серверы можем использовать в DDoS-атаках, поэтому важно ограничить доступ для внешних клиентов. Внесем изменения в конфиг:

restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited

Эти строки предотвратят попытки всяких злоупотреблений правами. Также разрешим доступ только локальным клиентам:

restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap

🟣Перезагрузка и проверка статуса: Перезапустим службу ещё раз, чтобы применить изменения:

$ sudo service ntp restart

Проверим статус службы:

$ sudo service ntp status

🟣Проверка работы: Чтобы убедиться, что синхронизация работает нормально и без проблем, пользуемся командой:

$ ntpq -pn

Серверная Админа | #NTP

👋 Привет, сетевой друг!

Продолжим настройку ntp-клиента. Это финальная часть.

🟣Для начала устанавливаем пакет NTP на клиентскую машину (аналогично серверу):

$ sudo apt update && sudo apt install ntp

После установки активируем службу:

$ sudo service ntp start

🟣Настроим конфиг для синхронизации с сервером: Сейчас можем открыть файл конфигурации /etc/ntp.conf и добавим сервер времени. Важно указать наш сервер как основной источник и задать интервалы опроса:

server 192.168.10.1 minpoll 4 maxpoll 10 iburst prefer

Здесь minpoll 4 и maxpoll 10 означают, что клиент будет запрашивать время каждые 16 секунд (минимум) и не чаще чем раз в 1024 секунды (максимум).

🟣Чтобы изменения вступили в силу, перезапускаем сервис NTP:

$ sudo service ntp restart

🟣Проверяем работу: сейчас самое время проверить, как наш клиент общается с сервером. Вводим команду:

$ ntpq -pn

Если всё настроено правильно, перед адресом твоего сервера появится звёздочка *

🟣Проверка синхронизации времени: Для теста изменим время на клиенте:

$ sudo date -s "2024-05-17 17:17:17"

Теперь либо ждем, когда синхронизируется время с сервером, либо перезапускаем сервер.

🟣Ручная синхронизация: Если нужно срочно синхронизировать время, используем утилиту ntpdate:

$ sudo ntpdate 192.168.10.1

Если возникнет ошибка с сокетом (а это иногда бывает, если NTP-демон уже работает), сначала останови его:

$ sudo service ntp stop
$ sudo ntpdate 192.168.10.1

Серверная Админа | #ntp

👋 Привет, сетевой друг!

Расскажу о старой технологии SKIP. Она помогала в защите ip-трафика до IPSec.

🟣Что это: SKIP — это довольно таки старый протокол 1995 года для защиты данных на уровне IP, который был предшественником IPSec. Он и шифровал пакеты, и безопасно их передавал без необходимости устанавливать защищённые соединения на каждом узле.

🟣И что в нем было особенного? Крут он тем, что имел полную совместимость с IP. Заголовок SKIP-пакета выглядит как обычный IP-заголовок, поэтому весь зашифрованный трафик спокойно проходил через маршрутизаторы и другие устройства.

🟣И как это работало: SKIP использовал открытые криптографические ключи для защиты данных. Один из популярных стандартов для управления ключами – X.509, но были и другие варианты по типу шифрования данных внутри IP пакета и инкапсуляции IP пакета в SKIP.

🟣Почему же IPSec вытеснил SKIP:

• IPsec встроен в стек TCP/IP и поддерживается всеми современными системами.
• SKIP не умел быстро менять ключи – в отличие от IPsec с IKE (Internet Key Exchange).
• Низкое распространение – большинство производителей просто не внедряли SKIP.

Серверная Админа | #SKIP