Самое важное правило сетевиков:

"Работает - не трогай"

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Ostinato

🟣Ostinato — такой универсальный "пакетный крафтер", редактор pcap и генератор трафика с удобным интерфейсом. В целом он отлично подходит для различных нужд — от создания и редактирования пакетов до их воспроизведения.

🟣Из фишек инструмента: к примеру, Ostinato поддерживает создание трафика с высокой скоростью до 10/25/40G, а также интеграцию с Python для автоматизации. Платформы, на которых работает — Windows, MacOS и Linux, а также виртуальные среды типа CML, EVE-NG и GNS3.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Расскажу, как правильно установить и сразу настроить NTP-сервер.

🟣Установка пакета NTP: Начнем с установки самого пакета ntp. Для этого откроем терминал и выполним:

$ sudo apt update && sudo apt install ntp

С этим сервер сможем синхронизировать время с внешними источниками.

🟣Запуск службы NTP: После установки нужно запустить службу NTP:

$ sudo service ntp start

🟣Настройка конфигурации: Откроем файл конфигурации /etc/ntp.conf, чтобы настроить серверы для синхронизации. Выполни команду:

$ sudo nano /etc/ntp.conf

Для улучшенной синхронизации с российскими серверами, заменим стандартные сервера на:

server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst prefer
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

Опция iburst ускоряет синхронизацию, а prefer делает один из серверов приоритетным для синхронизации.

🟣Перезапуск NTP-сервера: После внесения изменений, перезапустим службу, чтобы новые настройки вступили в силу:

$ sudo service ntp restart

🟣Безопасность NTP-сервера: Теперь можем позаботиться о безопасности (куда без неё). NTP-серверы можем использовать в DDoS-атаках, поэтому важно ограничить доступ для внешних клиентов. Внесем изменения в конфиг:

restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited

Эти строки предотвратят попытки всяких злоупотреблений правами. Также разрешим доступ только локальным клиентам:

restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap

🟣Перезагрузка и проверка статуса: Перезапустим службу ещё раз, чтобы применить изменения:

$ sudo service ntp restart

Проверим статус службы:

$ sudo service ntp status

🟣Проверка работы: Чтобы убедиться, что синхронизация работает нормально и без проблем, пользуемся командой:

$ ntpq -pn

Серверная Админа | #NTP

👋 Привет, сетевой друг!

Продолжим настройку ntp-клиента. Это финальная часть.

🟣Для начала устанавливаем пакет NTP на клиентскую машину (аналогично серверу):

$ sudo apt update && sudo apt install ntp

После установки активируем службу:

$ sudo service ntp start

🟣Настроим конфиг для синхронизации с сервером: Сейчас можем открыть файл конфигурации /etc/ntp.conf и добавим сервер времени. Важно указать наш сервер как основной источник и задать интервалы опроса:

server 192.168.10.1 minpoll 4 maxpoll 10 iburst prefer

Здесь minpoll 4 и maxpoll 10 означают, что клиент будет запрашивать время каждые 16 секунд (минимум) и не чаще чем раз в 1024 секунды (максимум).

🟣Чтобы изменения вступили в силу, перезапускаем сервис NTP:

$ sudo service ntp restart

🟣Проверяем работу: сейчас самое время проверить, как наш клиент общается с сервером. Вводим команду:

$ ntpq -pn

Если всё настроено правильно, перед адресом твоего сервера появится звёздочка *

🟣Проверка синхронизации времени: Для теста изменим время на клиенте:

$ sudo date -s "2024-05-17 17:17:17"

Теперь либо ждем, когда синхронизируется время с сервером, либо перезапускаем сервер.

🟣Ручная синхронизация: Если нужно срочно синхронизировать время, используем утилиту ntpdate:

$ sudo ntpdate 192.168.10.1

Если возникнет ошибка с сокетом (а это иногда бывает, если NTP-демон уже работает), сначала останови его:

$ sudo service ntp stop
$ sudo ntpdate 192.168.10.1

Серверная Админа | #ntp

👋 Привет, сетевой друг!

Расскажу о старой технологии SKIP. Она помогала в защите ip-трафика до IPSec.

🟣Что это: SKIP — это довольно таки старый протокол 1995 года для защиты данных на уровне IP, который был предшественником IPSec. Он и шифровал пакеты, и безопасно их передавал без необходимости устанавливать защищённые соединения на каждом узле.

🟣И что в нем было особенного? Крут он тем, что имел полную совместимость с IP. Заголовок SKIP-пакета выглядит как обычный IP-заголовок, поэтому весь зашифрованный трафик спокойно проходил через маршрутизаторы и другие устройства.

🟣И как это работало: SKIP использовал открытые криптографические ключи для защиты данных. Один из популярных стандартов для управления ключами – X.509, но были и другие варианты по типу шифрования данных внутри IP пакета и инкапсуляции IP пакета в SKIP.

🟣Почему же IPSec вытеснил SKIP:

• IPsec встроен в стек TCP/IP и поддерживается всеми современными системами.
• SKIP не умел быстро менять ключи – в отличие от IPsec с IKE (Internet Key Exchange).
• Низкое распространение – большинство производителей просто не внедряли SKIP.

Серверная Админа | #SKIP

📝 Небольшая шпаргалка по протоколу RIP

Пользуйтесь 😎

Серверная Админа | #RIP

😄

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте SSLyze

🟣Что это такое: SSLyze — скоростной сканер, который проверяет безопасность SSL/TLS: анализирует сертификаты, шифры, эллиптические кривые и выявляет уязвимости (Heartbleed, ROBOT и др.).

🟣Почему это топ: Быстро и точно — ежедневно проверяет сотни тысяч серверов. Инструмент, к тому же, удобен для автоматизации — легко интегрируется в CI/CD. Плюс поддержка множества протоколов — от HTTPS до RDP и FTP.

🟣И кстати, Гибкий API — то есть можно запускать сканирование через Python, например, в AWS Lambda.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Покажу, как теперь на практике работать с инструментом SSLyze.

🟣Как установить: Простейший способ — через pip:

pip install --upgrade pip setuptools wheel  
pip install --upgrade sslyze  
python -m sslyze www.yahoo.com www.google.com "[2607:f8b0:400a:807::2004]:443"  

Если удобнее через Docker, можно так:

docker run --rm -it nablac0d3/sslyze:6.1.0 www.google.com  

А для Windows доступен готовый .exe.

🟣Использование в CI/CD: SSLyze может автоматически проверять соответствие TLS-конфигурации сервера рекомендациям Mozilla. Если настройки не соответствуют стандарту, утилита вернёт ошибку:

python -m sslyze mozilla.com  

Нужен другой уровень защиты? Можно выбрать old, intermediate или modern:

python -m sslyze --mozilla_config=modern mozilla.com  

Серверная Админа | #SSLyze

👋 Привет, сетевой друг!

Сегодня расскажу, как настроить временные ACL на Cisco.

🟣Что такое временные ACL: Это ACL, которые позволяют вам ограничивать или разрешать доступ к ресурсам в зависимости от времени. Например, можно запретить выход в интернет в нерабочее время для компьютеров в офисе.

🟣Как настроить: Создаём временной диапазон — сначала определим, когда будет действовать ACL. Для этого используем команду:

time-range [имя_диапазона]

🟣Определяем периоды — задаем, будет ли временной диапазон периодическим или абсолютным:

• Периодический диапазон, например:

periodic Monday Wednesday Friday 08:00 to 16:00

• Абсолютный диапазон:

absolute start 00:00 1 May 2018 end 00:00 1 April 2019

Создаём ACL и применяем временной диапазон:

ip access-list extended deny-weekends
deny tcp any any eq 80 time-range weekends

Применяем ACL к интерфейсу:

interface fa0/1
ip access-group deny-weekends out

🟣И да, важно: чтобы временные ACL нормально работали нужно, чтобы время на маршрутизаторе было настроено правильно. Чтобы проверить, можно использовать команду:

show time-range

Серверная Админа | #ACL

👋 Привет, сетевой друг!

Сегодня расскажем про три крутых способа использовать команду PING для диагностики сети.

🟣Время отправки пакетов: Чтобы отслеживать, когда именно пакеты отправляются, используем команду с датой:

ping [host] | xargs -n1 -i bash -c 'echo `date +%F %T`" {}"' | ccze

Теперь каждый пакет будет показывать дату и время — идеально для скриптов и логов.

🟣Пинг всех устройств в подсети: Проверить активность всех хостов в сети? Юзаем:

ping -b -c 4 192.168.1.255

Это поможет понять, какие устройства живы, а какие нет.

🟣Идеальный размер пакета (MTU): Нужно найти оптимальный размер MTU? Легко:

ping -M do -s 1472 [host]

Способ помогает избежать фрагментации пакетов и найти максимальный размер, который пройдет по сети.

Серверная Админа | #ping

Элегантная мультикаст-сеть с PIM, RP и IGMPv3

Или

Заливать трафик на все порты и молиться

Что выберешь ты?😅

👨‍💻Серверная Админа | #мем

📝 Нашёл классную схему, которая показывает, как вообще связаны сетевые протоколы

По сути, все, чем мы пользуемся — HTTPS, SSH, почта — завязано на более базовые вещи, вроде TCP и UDP.

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Multi-Generator

🟣Что это такое: Multi-Generator — это именно тот инструмент, который нужен для измерений IP-сетей с использованием TCP и UDP/IP трафика. Всё, что нужно для глубокого анализа работы сети, уже есть в этом ПО.

🟣Что умеет: Multi-Generator позволяет запускать тесты с огромной гибкостью. Он поддерживает как TCP, так и UDP, позволяет управлять фрагментацией трафика через DF бит и даёт возможность легко варьировать размер сообщений, от минимального до максимального.

🟣Хотите нестандартный payload? Без проблем. Пользователь может задавать свои данные для теста. И это ещё не всё: инструмент позволяет ограничивать количество сообщений.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня объясню, что такое Proxy ARP на пальцах.

🟣Proxy ARP — это способ «обмануть» устройства, заставив их думать, что они находятся в одной сети, хотя на самом деле это не так.

Картинка 1 - без ARP Proxy
Картинка 2 - с ним

🟣Смотрим на практике: Представим, что у вас есть компьютер с IP 192.168.0.1/24, и он пытается связаться с устройством с IP 192.168.0.66/26.

🟣Эти два устройства находятся в разных подсетях, и когда компьютер отправляет ARP-запрос на 192.168.0.66, он не получит ответа, потому что запрос не виден в другой подсети.

🟣Но если включен Proxy ARP, маршрутизатор «вмешивается» и отвечает на запрос от имени 192.168.0.66, подставляя свой MAC-адрес. Получается, что пакеты идут к маршрутизатору, а он уже перенаправляет их в нужную подсеть.

Для компьютера всё будет выглядеть так, будто он общается напрямую с 192.168.0.66.

Серверная Админа | #ARP #proxyarp

👋 Привет, сетевой друг!

Расскажу о классной фишке крупных сетей Super VLAN.

🟣Super VLAN — это способ объединить несколько логических VLAN в одну большую широковещательную домену (Layer 2). Зачем это? Вообще, это позволяет уменьшить количество широковещательных фреймов и экономит IP-адреса. В Super VLAN есть два важных элемента:

• Primary VLAN — здесь находятся все шлюзы для конечных устройств.
• Sub VLAN — это логически разделённые сети, использующие один общий шлюз из Primary VLAN.

🟣Это как вообще: В обычных VLAN маршрутизация между ними происходит через маршрутизатор. А вот в Super VLAN устройства из разных Sub VLAN могут обмениваться данными, используя общий шлюз без необходимости отдельной маршрутизации для каждой подсети.

🟣Это, конечно, удобно, но появляется одна проблемка. ARP-запросы не могут «прыгать» между Sub VLAN. И тут нам снова на помощь приходит Proxy ARP, который решит эту проблему.

Серверная Админа | #Supervlan #VLAN