👋 Привет, сетевой друг!

Сегодня поговорим об инструменте TraceWrangler

🟣TraceWrangler — крутейший инструмент для редактирования и анонимизации сетевых дампов в форматах PCAP и PCAPng. Он идеально подходит для работы с данными, полученными через Wireshark или TCPDump, позволяя удалять или заменять не самую публичную инфу

🟣Фишки: он позволяет редактировать большие объемы данных. Вы можете убрать ненужные протоколы (к примеру, MPLS или GRE), объединить файлы с нескольких интерфейсов, фильтровать фреймы, а также извлекать отдельные разговоры для дальнейшего анализа.

🟣И да, плюсом TraceWrangler помогает детально собирать информацию о сессиях IP, TCP и UDP, а также предоставляет доступ к структуре PCAPng-файлов.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Разберем, как настроить Site-To-Site IPsec VPN туннель

🟣Что такое IPSec VPN: это протокол, который гарантирует, что всё, что ты передаешь по сети, защищено. Для создания Site-To-Site VPN туннеля используется два маршрутизатора, которые через интернет устанавливают защищённое соединение, шифруя трафик.

🟣Итак, как это работает: Для установки туннеля нам нужно выполнить два этапа:
• Фаза 1 (ISAKMP/IKE) — создаём безопасный канал для обмена ключами.
• Фаза 2 (IPSec) — защищаем сам трафик, шифруем данные и обеспечиваем их целостность.

🟣Что 100% нужно для настройки: во-первых, это Статический публичный IP-адрес для обоих маршрутизаторов. И конечно, сами маршрутизаторы, которые поддерживают ISAKMP и IPSec.

Звучать может чуть сложновато, но в следующем посте покажу, как это делать на практике.

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Смотрим на практике, как настроить Site-To-Site IPsec VPN туннель

🟣Разделим процесс, условно на две фазы. Начнем с первой: создаем защищённый канал для обмена ключами

На Роутере 1:

R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400
R1(config)# crypto isakmp key merionet address 1.1.1.2

На Роутере 2:

R2(config)# crypto isakmp policy 1
R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400
R2(config)# crypto isakmp key merionet address 1.1.1.1

Тут мы задали алгоритм шифрования (3DES), хеширования (MD5) и метод аутентификации с предварительным ключом.

🟣Теперь вторая фаза: настройка шифрования

На Роутере 1:

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC
R1(config)# interface FastEthernet0/1
R1(config-if)# crypto map CMAP

На Роутере 2:

R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# match address VPN-TRAFFIC
R2(config)# interface FastEthernet0/1
R2(config-if)# crypto map CMAP



Теперь у нас настроен список доступа (ACL) для определения трафика, который проходит через VPN, плюсом задано шифрование и применена конфигурация к интерфейсу.

🟣Проверим VPN-туннель напоследок:

R1# ping 20.20.20.1 source fastethernet0/0
R1# show crypto session

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Сегодня расскажу о протоколе NTP и о том, для чего он нужен.

🟣Что такое NTP: это протокол, который гарантирует синхронизацию времени на всех устройствах в сети. Почему это важно? Без точного времени многие системы и процессы просто не смогут работать.

🟣Кстати, сам протокол был создан ещё в 1985 году и до сих пор остаётся основным способом синхронизации времени в сетях.

🟣И как это работает: NTP использует модель клиент-сервер. Устройства-клиенты отправляют запросы на получение времени от серверов, которые получают его от высокоточнных источников (например, атомных часов). Работает все буквально, как часы: серверы создают иерархию, где каждый уровень зависит от более точных источников времени.

🟣Как проходит синхронизация: Процесс выглядит так: устройства обмениваются небольшими пакетами с метками времени, которые помогают вычислить любые задержки в сети. После этого они корректируют свои часы уже с учётом сетевых задержек.

Серверная Админа | #NTP

📝 Держите классную шпаргалку по портам и протоколам

Серверная Админа | #шпаргалка

👋 Привет, сетевой друг!

Расскажу, как научиться работать с сетями.

🟣Если хочется не сидеть на месте, а активнее изучать то, как строятся стабильные, и что важно, безопасные сети, этот курс — лучший старт. Он охватывает вообще всё, что нужно для понимания всех основ коммутирования и маршрутизации.

🟣В курсе тебя ждут 100 тестов для закрепления теории, 20 лабораторных работ для практики и даже один проект, который позволит применить полученные знания прямо в реальных условиях. И да, все это основано на Cisco CCNA.

🟣А если вдруг возникнут вопросы — не переживай! Круглосуточная поддержка всегда рядом.

Ссылка на курс тут: https://stepik.org/a/227855

Группа с поддержкой, если возникнут трудности: https://t.me/Networks_anyone

Серверная Админа | #безопасность

Самое важное правило сетевиков:

"Работает - не трогай"

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Ostinato

🟣Ostinato — такой универсальный "пакетный крафтер", редактор pcap и генератор трафика с удобным интерфейсом. В целом он отлично подходит для различных нужд — от создания и редактирования пакетов до их воспроизведения.

🟣Из фишек инструмента: к примеру, Ostinato поддерживает создание трафика с высокой скоростью до 10/25/40G, а также интеграцию с Python для автоматизации. Платформы, на которых работает — Windows, MacOS и Linux, а также виртуальные среды типа CML, EVE-NG и GNS3.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Расскажу, как правильно установить и сразу настроить NTP-сервер.

🟣Установка пакета NTP: Начнем с установки самого пакета ntp. Для этого откроем терминал и выполним:

$ sudo apt update && sudo apt install ntp

С этим сервер сможем синхронизировать время с внешними источниками.

🟣Запуск службы NTP: После установки нужно запустить службу NTP:

$ sudo service ntp start

🟣Настройка конфигурации: Откроем файл конфигурации /etc/ntp.conf, чтобы настроить серверы для синхронизации. Выполни команду:

$ sudo nano /etc/ntp.conf

Для улучшенной синхронизации с российскими серверами, заменим стандартные сервера на:

server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst prefer
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

Опция iburst ускоряет синхронизацию, а prefer делает один из серверов приоритетным для синхронизации.

🟣Перезапуск NTP-сервера: После внесения изменений, перезапустим службу, чтобы новые настройки вступили в силу:

$ sudo service ntp restart

🟣Безопасность NTP-сервера: Теперь можем позаботиться о безопасности (куда без неё). NTP-серверы можем использовать в DDoS-атаках, поэтому важно ограничить доступ для внешних клиентов. Внесем изменения в конфиг:

restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited

Эти строки предотвратят попытки всяких злоупотреблений правами. Также разрешим доступ только локальным клиентам:

restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap

🟣Перезагрузка и проверка статуса: Перезапустим службу ещё раз, чтобы применить изменения:

$ sudo service ntp restart

Проверим статус службы:

$ sudo service ntp status

🟣Проверка работы: Чтобы убедиться, что синхронизация работает нормально и без проблем, пользуемся командой:

$ ntpq -pn

Серверная Админа | #NTP

👋 Привет, сетевой друг!

Продолжим настройку ntp-клиента. Это финальная часть.

🟣Для начала устанавливаем пакет NTP на клиентскую машину (аналогично серверу):

$ sudo apt update && sudo apt install ntp

После установки активируем службу:

$ sudo service ntp start

🟣Настроим конфиг для синхронизации с сервером: Сейчас можем открыть файл конфигурации /etc/ntp.conf и добавим сервер времени. Важно указать наш сервер как основной источник и задать интервалы опроса:

server 192.168.10.1 minpoll 4 maxpoll 10 iburst prefer

Здесь minpoll 4 и maxpoll 10 означают, что клиент будет запрашивать время каждые 16 секунд (минимум) и не чаще чем раз в 1024 секунды (максимум).

🟣Чтобы изменения вступили в силу, перезапускаем сервис NTP:

$ sudo service ntp restart

🟣Проверяем работу: сейчас самое время проверить, как наш клиент общается с сервером. Вводим команду:

$ ntpq -pn

Если всё настроено правильно, перед адресом твоего сервера появится звёздочка *

🟣Проверка синхронизации времени: Для теста изменим время на клиенте:

$ sudo date -s "2024-05-17 17:17:17"

Теперь либо ждем, когда синхронизируется время с сервером, либо перезапускаем сервер.

🟣Ручная синхронизация: Если нужно срочно синхронизировать время, используем утилиту ntpdate:

$ sudo ntpdate 192.168.10.1

Если возникнет ошибка с сокетом (а это иногда бывает, если NTP-демон уже работает), сначала останови его:

$ sudo service ntp stop
$ sudo ntpdate 192.168.10.1

Серверная Админа | #ntp

👋 Привет, сетевой друг!

Расскажу о старой технологии SKIP. Она помогала в защите ip-трафика до IPSec.

🟣Что это: SKIP — это довольно таки старый протокол 1995 года для защиты данных на уровне IP, который был предшественником IPSec. Он и шифровал пакеты, и безопасно их передавал без необходимости устанавливать защищённые соединения на каждом узле.

🟣И что в нем было особенного? Крут он тем, что имел полную совместимость с IP. Заголовок SKIP-пакета выглядит как обычный IP-заголовок, поэтому весь зашифрованный трафик спокойно проходил через маршрутизаторы и другие устройства.

🟣И как это работало: SKIP использовал открытые криптографические ключи для защиты данных. Один из популярных стандартов для управления ключами – X.509, но были и другие варианты по типу шифрования данных внутри IP пакета и инкапсуляции IP пакета в SKIP.

🟣Почему же IPSec вытеснил SKIP:

• IPsec встроен в стек TCP/IP и поддерживается всеми современными системами.
• SKIP не умел быстро менять ключи – в отличие от IPsec с IKE (Internet Key Exchange).
• Низкое распространение – большинство производителей просто не внедряли SKIP.

Серверная Админа | #SKIP

📝 Небольшая шпаргалка по протоколу RIP

Пользуйтесь 😎

Серверная Админа | #RIP

😄

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте SSLyze

🟣Что это такое: SSLyze — скоростной сканер, который проверяет безопасность SSL/TLS: анализирует сертификаты, шифры, эллиптические кривые и выявляет уязвимости (Heartbleed, ROBOT и др.).

🟣Почему это топ: Быстро и точно — ежедневно проверяет сотни тысяч серверов. Инструмент, к тому же, удобен для автоматизации — легко интегрируется в CI/CD. Плюс поддержка множества протоколов — от HTTPS до RDP и FTP.

🟣И кстати, Гибкий API — то есть можно запускать сканирование через Python, например, в AWS Lambda.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Покажу, как теперь на практике работать с инструментом SSLyze.

🟣Как установить: Простейший способ — через pip:

pip install --upgrade pip setuptools wheel  
pip install --upgrade sslyze  
python -m sslyze www.yahoo.com www.google.com "[2607:f8b0:400a:807::2004]:443"  

Если удобнее через Docker, можно так:

docker run --rm -it nablac0d3/sslyze:6.1.0 www.google.com  

А для Windows доступен готовый .exe.

🟣Использование в CI/CD: SSLyze может автоматически проверять соответствие TLS-конфигурации сервера рекомендациям Mozilla. Если настройки не соответствуют стандарту, утилита вернёт ошибку:

python -m sslyze mozilla.com  

Нужен другой уровень защиты? Можно выбрать old, intermediate или modern:

python -m sslyze --mozilla_config=modern mozilla.com  

Серверная Админа | #SSLyze

👋 Привет, сетевой друг!

Сегодня расскажу, как настроить временные ACL на Cisco.

🟣Что такое временные ACL: Это ACL, которые позволяют вам ограничивать или разрешать доступ к ресурсам в зависимости от времени. Например, можно запретить выход в интернет в нерабочее время для компьютеров в офисе.

🟣Как настроить: Создаём временной диапазон — сначала определим, когда будет действовать ACL. Для этого используем команду:

time-range [имя_диапазона]

🟣Определяем периоды — задаем, будет ли временной диапазон периодическим или абсолютным:

• Периодический диапазон, например:

periodic Monday Wednesday Friday 08:00 to 16:00

• Абсолютный диапазон:

absolute start 00:00 1 May 2018 end 00:00 1 April 2019

Создаём ACL и применяем временной диапазон:

ip access-list extended deny-weekends
deny tcp any any eq 80 time-range weekends

Применяем ACL к интерфейсу:

interface fa0/1
ip access-group deny-weekends out

🟣И да, важно: чтобы временные ACL нормально работали нужно, чтобы время на маршрутизаторе было настроено правильно. Чтобы проверить, можно использовать команду:

show time-range

Серверная Админа | #ACL

👋 Привет, сетевой друг!

Сегодня расскажем про три крутых способа использовать команду PING для диагностики сети.

🟣Время отправки пакетов: Чтобы отслеживать, когда именно пакеты отправляются, используем команду с датой:

ping [host] | xargs -n1 -i bash -c 'echo `date +%F %T`" {}"' | ccze

Теперь каждый пакет будет показывать дату и время — идеально для скриптов и логов.

🟣Пинг всех устройств в подсети: Проверить активность всех хостов в сети? Юзаем:

ping -b -c 4 192.168.1.255

Это поможет понять, какие устройства живы, а какие нет.

🟣Идеальный размер пакета (MTU): Нужно найти оптимальный размер MTU? Легко:

ping -M do -s 1472 [host]

Способ помогает избежать фрагментации пакетов и найти максимальный размер, который пройдет по сети.

Серверная Админа | #ping

Элегантная мультикаст-сеть с PIM, RP и IGMPv3

Или

Заливать трафик на все порты и молиться

Что выберешь ты?😅

👨‍💻Серверная Админа | #мем