👋 Привет, сетевой друг!



Сегодня я кратко расскажу про VPN клиент от Cisco.

⏺ Cisco AnyConnect — это кроссплатформенный VPN клиент от известной компании Cisco.

⏺ Стоит сразу сказать, несмотря на то, что Cisco AnyConnect является бесплатным приложением для использования VPN, он не предоставляет доступа ни к каким платным или бесплатным серверам. Cisco Anyconnect используется для подключения к существующим виртуальным частным сетям или VPN.

⏺ Разберем несколько особенностей, которые позволяют предоставлять удаленный доступ через это приложение:

⬜️ Возможность получения настроек со шлюза или сервера
Если человек работает через свое оборудование и нет возможности отдать его на установку и настройку техническим специалистам, то AnyConnect может получить настройки с сервера при первом подключении.

⬜️ Безопасность конечного устройства.
Присутствует возможность настройки проверки компьютера или телефона, на котором установлено. Если устройство не соответствует заданным параметрам безопасности, то подключение не произойдет.

⬜️ Настройка приложения таким образом, чтобы при работе внутри корпоративной сети, не работал интернет.
Это повышает безопасность корпоративной сети от взлома или занесения вредоносных программ.

Network Academy | #vpn

👋 Привет, сетевой друг!



Все мы знаем, что использовать чужие прокси не всегда безопасно. Поэтому сегодня я расскажу как просто создать свой proxy-сервер.

⏺ Чтобы поднять свой сервер, нужно выполнить следующие шаги:

🟢Арендуем виртуальный сервер (VPS/VDS) и фиксируем его IP-адрес.
🟢Затем скачиваем и устанавливаем программу PuTTY.
🟢Открываем вкладку Session и в поле Host Name вводим адрес арендованного сервера.
🟢После переходим в подпункт Connection.
🟢Меняем значение напротив строчки Seconds between keepalives на 100.
🟢Потом проходим по пути Connection/SSH/Tunnels в боковой панели меню.
🟢В строчке Source Port вводим номер 3128.
🟢Ставим галочку напротив пунктов Dynamic и Auto.
🟢А затем нажимаем на кнопку Open.

⏺ Все. Теперь надо только подключиться к своему серверу. При подключении:

⬜️ Выбрать протокол SOCKS.
⬜️ Указать в качестве адреса localhost.
⬜️ Указать порт 3128.

Network Academy | #proxy

👋 Привет, сетевой друг!



Сегодня я расскажу про взаимодействие DHCP-сервера и клиента.

⏺ Перед прочтением, рекомендую ознакомится с нашим постом о том, что такое DHCP.

⏺ DHCP работает по модели «клиент-сервер». Он автоматически раздает IP-адреса и другие параметры конфигурации устройствам, чтобы те могли работать в сети.

⏺ Сервер и клиент обмениваются сообщениями по принципу «запрос-ответ». Взаимодействие состоит из 4 этапов:

⬜️ Поиск – Discover: Клиент ➡️ Сервер
На этом этапе клиенту главное найти и узнать, где находится сервер.

⬜️ Предложение – Offer: Сервер ➡️ Клиент
DHCP-сервер получает сообщение от клиента, после чего выбирает свободный IP-адрес из числа доступных и отправляет его в ответном сообщении.

⬜️ Запрос – Request: Клиент ➡️ Сервер
Клиент получил IP-адрес и отправляет серверу ответное сообщение, в нем он еще раз прописывает полученный адрес и тем самым подтверждает, что будет использовать его.

⬜️ Подтверждение – Acknowledgement: Сервер➡️ Клиент
Сервер отправляет сообщение, закрепляя IP-адрес за клиентом. В сообщении содержится сам адрес, срок его использования и дополнительные настройки сети. Клиент проверяет эти настройки, применяет полученную конфигурацию и получает доступ к сети.

Network Academy | #proxy

👋 Привет, сетевой друг!



Сегодня я расскажу о нескольких распространенных приемов, используемых злоумышленниками, чтобы стать «человеком посередине».

⏺ Перед прочтением, рекомендуем ознакомится с нашим постом о MITM.

⬜️ Отравление ARP-кэша
Протокол разрешения адресов (ARP) — это низкоуровневый процесс, который преобразует адрес машины (MAC) в IP-адрес в локальной сети.
Злоумышленники вводят в эту систему ложную информацию, чтобы заставить ваш компьютер принимать компьютер злоумышленника за сетевой шлюз. Когда вы подключаетесь к сети, злоумышленник получает весь ваш сетевой трафик (вместо вашего реального сетевого шлюза) и передает его по своему реальному месту назначения. Вам кажется, что все нормально. Но в это время злоумышленник видит все данные, которые вы принимаете и передаете.

⬜️ Отравление кэша DNS
Отравлением кэша DNS называется действие, когда злоумышленник дает вам поддельную запись DNS, которая ведет на другой сайт. Он может выглядеть как Google, но это не Google, и злоумышленник будет перехватывать любые данные, которые вы вводите на поддельном сайте, в том числе имя пользователя и пароль.

О других приемах расскажу в следующем посте.

Network Academy | #mitm

👋 Привет, сетевой друг!



Сегодня я расскажу ещё о нескольких распространенных приемов, используемых злоумышленниками, чтобы стать «человеком посередине».

⬜️ Перехват Wi-Fi
Злоумышленники прослушивают трафик в общедоступных или незащищенных сетях Wi-Fi или создают сети Wi-Fi с распространёнными именами. Их цель — обманом заставить людей подключиться, чтобы украсть их данные.

⬜️ Перехват сеанса
При такой атаке злоумышленник наблюдает за вами, чтобы войти на веб-страницу (например, учетную запись банка или электронной почты), а затем крадет ваш cookie-файл сеанса для входа в ту же учетную запись из своего браузера. Как только злоумышленник получит ваш cookie-файл активного сеанса, он сможет делать на этом веб-сайте то же самое, что и вы.

Network Academy | #mitm

👋 Привет, сетевой друг!



Сегодня я расскажу как работает SSL-протокол, как клиент и сервер «жмут друг другу руки» и шифруют данные. Другими словами — как SSL работает на техническом уровне.

⏺ Когда вы пытаетесь подключиться к сайту, который защищён SSL, ваш браузер и сервер начинают «рукопожатие». Так называют процесс, когда браузер и сервер обмениваются информацией друг о друге.

⬜️ Для начала — они сообщают, какие версии протокола установлены на обоих устройствах.

⬜️ Затем сервер должен передать вашему браузеру договор «на подпись» — SSL‑сертификат. В нём будет храниться подробная информация о сайте. Но важнее всего — публичный ключ и подпись, которую выдаёт центр сертификации. Они нужны, чтобы проверить, что вы заходите на настоящий сайт, а не на его подделку.

⬜️ Теперь браузер должен проверить подлинность SSL-сертификата. Если срок действия сертификата не закончился и он был выдан в надёжном месте, то браузер получит уведомление, что всё ок.

⬜️ На этот момент соединение считается установленным: сертификат нормальный, публичный ключ у нас. Пора отправлять данные.

⏺ Вся информация, что передаётся между браузером и сервером, сначала шифруется на стороне браузера, применяя публичный ключ шифрования. Как только текст зашифрован — пора передавать его на сервер. Тот его расшифрует с помощью своего приватного ключа и поймёт, что вы хотите от него получить.

⏺ Данные переданы, процесс завершается, и соединение разрывается. При следующем визите на сайт всё повторится.

Network Academy | #ssl

👋 Привет, сетевой друг!



Продолжая тему работы SSL, я расскажу о том, как SSL-протокол шифрует данные.

⏺ Сейчас я коротко расскажу об алгоритмах шифрования. Всего есть два больших класса алгоритмов — асимметричные и симметричные. Разница между ними только в количестве ключей.

⬜️ Симметричные используют один общий ключ для шифрования и дешифрования. Ключ известен обеим сторонам — клиенту и серверу. Поэтому нужно не допустить, чтобы он потерялся, — иначе шифрование станет бессмысленным.

⬜️ Асимметричные используют два ключа — публичный и приватный. Публичный ключ нужен для шифрования данных, поэтому его можно без проблем отправлять кому угодно. Приватный ключ нужен для дешифрования, поэтому его нужно держать в безопасном месте.

⏺ В SSL-протоколе два типа шифрования работают вместе. Асимметричное шифрование используют во время «рукопожатия» и аутентификации. Симметричное — для шифрование сообщений.

⏺ Вместе с шифрованием используют алгоритмы хеширования:

Хеширование — это способ превратить данные в строку фиксированной длины. Для этого данные пропускают через хеш-функцию, которая получает на их основе уникальную последовательность символов. В будущем по этой строке можно будет определить, редактировался файл или нет. Ведь даже если заменить один символ в текстовом документе, то его хеш изменится до неузнаваемости.

Network Academy | #ssl

Автоматизированный поиск конфиденциальных данных

⏺ Новый инструмент под названием back-me-up позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных выражений. Шаблоны в основном нацелены на данные с Wayback Machine.

↪️ GitHub

Network Academy | #инструмент

👋 Привет, сетевой друг!



Сегодня я расскажу, что такое LAMP.

⏺ LAMP — это стек программного обеспечения, устанавливаемого на сервер и предназначенного для сайтов и веб-приложений. LAMP – это аббревиатура, она расшифровывается как: Linux, Apache, MySQL и PHP.

Рассмотрим каждый элемент LAMP подробнее:

🟢Linux используется в качестве ОС на сервере, часто это различные дистрибутивы Ubuntu и Debian.
🟢Apache — веб-сервер. Он обрабатывает все запросы к страницам сайта и выдает соответствующие ответы.
🟢MySQL — СУБД (система управления базами данных). Иногда в LAMP используется MariaDB. Здесь хранятся все данные сайта.
🟢PHP — скриптовый язык для генерации страниц.

⏺ Такой набор самостоятельных по отдельности компонентов стал очень популярен.

⏺ Существует множество вариаций LAMP, где какие-либо из компонентов заменяются на другие, например LEMP — вместо Apache в нем используется веб-сервер Nginx.

Скоро мы выпустим статью, в которой покажем как установить данный стек!

Поддержи лайком 👍

Network Academy | #linux

👋 Привет, сетевой друг!



В прошлых мы упоминали веб-сервер Apache, сегодня я расскажу о нем подробнее. 

⏺ Для начала, думаю, стоит вспомнить какие вообще есть сервера. Сервером могут называть две вещи:

⬜️ Компьютер или виртуальная машина, на которой запускаются программы для работы сайтов и служб.
⬜️ Сами программы, которые что-то отдают пользователю по запросу — файлы, видеоролики, музыку и т. д. Apache — это программа.

⏺ Программы-сервера ещё иногда разделяют на веб-сервера, ftp-сервера, почтовые сервера и т. д. То есть если программа обрабатывает запросы на сайты — это веб-сервер.

⏺ Apache — это как раз веб-сервер, он обрабатывает запросы и отдаёт в ответ на них сайты. Первая версия этого веб-сервера появилась в 1995 году, когда браузеры стали набирать популярность. Apache работает примерно так:

⬜️ У него есть список портов, которые он «слушает», — представьте, что это столики, которые обслуживает официант.
⬜️ Если на какой-то порт приходит запрос, это равносильно тому, как если бы гость ресторана сделал заказ. Сервер изучает этот заказ и заглядывает в свои внутренние правила: можно ли этот заказ исполнять.
⬜️ Чаще всего внутренние правила звучат так: возьми такие-то файлы, запусти такой-то процесс, получи от него такой-то результат и передай его тому, кто этот запрос сделал.
⬜️ Иногда клиент заказывает что-то, что нельзя подавать — в правилах стоит запрет. Например, это какой-то секретный документ. Тогда сервер смотрит, как ответить клиенту в этой ситуации. Например, он покажет страницу с ошибкой.
⬜️ Когда запрос выполнен (успешно или с ошибкой), сервер снова ждёт нового запроса.

Далее расскажем про принципы работы Apache

Network Academy | #apache

👋 Привет, сетевой друг!



Сейчас рассмотрим принципы работы и настройку веб-сервера Apache

⏺ Апач работает на трёх уровнях: на уровне всего сервера, виртуального хоста и каталога. Настройки каждого уровня задаются в своих файлах.

⬜️ Уровень всего сервера — это по каким правилам Апач обрабатывает вообще все запросы, которые к нему приходят. Например, можно сказать ему так: на любой запрос показывай ошибку «Доступ запрещён».

🟢За этот уровень отвечает файл httpd.conf.

⬜️ Уровень виртуального хоста означает, что на компьютере может жить одновременно несколько сайтов, за которые отвечает один веб-сервер. Все запросы распределяются по своим хостам (виртуальным сайтам).

Правила на этом уровне отвечают за то, как конкретный хост будет отвечать на запросы — откуда брать данные, как их обрабатывать и что с ними делать дальше.

🟢За этот уровень отвечает файл extra/httpd-vhosts.conf.

⬜️ Уровень каталога регулирует, в какие каталоги у пользователя есть доступ, а в какие его пускать нельзя. Если этого не сделать, то, например, кто угодно сможет зайти в каталог с базой данных онлайн-магазина и скачать себе список всех товаров, покупателей и узнать уровень дохода и выручки.

🟢 За этот уровень отвечает файл .htaccess.

⏺ Чтобы настроить Апач, нужно поменять соответствующие настройки в этих файлах. Веб-сервер в них смотрит при каждом запросе, поэтому все новые правила применяются сразу же, как вы их пропишете. Это как если шеф-повар скажет официантам: «Стейки на стопе» — это значит, что мясо на стейки закончилось, больше заказов на стейки не принимайте. Перезагружать для этого сервер не нужно.

Network Academy | #apache

👋 Привет, сетевой друг!



В этом посте я расскажу плюсы и минусы Apache.

➕

⬜️ Масштабируемость. Если нагрузка на сервер становится больше, можно запустить второй апач на другом сервере, настроить его на работу с тем же сайтом и распределить нагрузку.

⬜️ Поддержка и справочная информация. Апачу уже больше 25 лет — за это время накопилось огромное количество документации, примеров использования, комплектов модулей и готовых сценариев. Если у вас есть проблема или вопрос по Апачу, то её до этого уже точно кто-то решил и выложил ответ в сеть.

⬜️ Поддержка других языков программирования. Нужна поддержка PHP? Есть такое. Python? Легко. Perl? Тоже без проблем. Даже если вам понадобится запускать на сервере что-то на C++ или Java, то Апач тоже сможет с этим помочь.

⬜️ Поддержка многих ОС. Поэтому можно поставить его на локалку и получить поддержку Вордпресса, PHP и остальных систем, для которых раньше нужно было всё заливать на удалённый сервер.

➖

⬜️ Когда посетителей на сервере много, Апач работает медленно. А всё потому, что в 1995 году высокой нагрузкой считалось, условно, 1000 посетителей в минуту, а сейчас — миллион. И когда обращений к сайту становится слишком много (а Апач обрабатывает каждое соединение по очереди) — сервер не справляется и тормозит.

⬜️ Уязвимость подключаемых модулей. Сам Апач проверен на надёжность и безопасность много раз, а вот в модулях могут быть проблемы. Если подключить модуль, в котором есть дыры в безопасности, то через них можно получить доступ и к серверу, и к файлам, которые на нём хранятся.

Network Academy | #apache

👋 Привет, сетевой друг!



Сегодня я расскажу про RDP-протокол: что это такое и для чего используется.

⏺ Протокол RDP (Remote Desktop) – детище разработчика софта Microsoft. Он изначально был практически единственным способом удаленного доступа к удаленным хостам или к рабочим местам с ПК администратора.

⏺ Было еще одно предназначение: подключение к ресурсам более мощного сервера со слабых локальных машин (например, для сложных вычислений). Сегодня протокол RDP – это скорее инструмент для организации удаленных рабочих мест.

⏺ Клиенты существуют практически для всех операционных систем - Linux, FreeBSD, macOS, iOS, Android, Symbian.

⏺ Общие характеристики протокола:

⬜️ Поддерживаются 32 битные цвета и ниже (8, 15, 16, 24 бита).
⬜️ Защита данных осуществляется со 128-битных шифрованием (алгоритм RC4).
⬜️ Перенаправление звука, файловой системы, принтера, портов.
⬜️ Поддержка функции буфера обмена между удаленным и локальным компьютером.

Далее рассмотрим принципы работы протокола.

Network Academy | #RDP

👋 Привет, сетевой друг!



Сегодня я расскажу про принцип работы RDP.

⏺ Система RDP – прикладной протокол TCP. Сначала компьютеры инициируют подключение. На транспортном уровне после подтверждения коннекта система инициализирует сессию RDP. После удачного завершения процедуры сервер терминалов включает трансляцию изображения рабочего стола и ввод с клавиатуры или мышки. Отображение возможно в виде картинки или отрисовкой графических примитивов.

⏺ Система поддерживает одновременную работу нескольких виртуальных каналов внутри одного физического соединения. Это необходимо, чтобы обеспечить работу следующих блоков:

⬜️ Печать на принтере или обмен данными по последовательному порту
⬜️ Работа буфера обмена и иных операций с дисковой подсистемой
⬜️ Использование подсистемы воспроизведения-записи звука

Network Academy | #RDP

👋 Привет, сетевой друг!



Сейчас я покажу как подключится к удаленному рабочему столу в Ubuntu через RDP.

⏺ При подключении из Windows к удаленному хосту с установленной системой Ubuntu используют все ту же утилиту Remote Desktop. Единственное, нужно подготовить сервер — установить на него поддержку технологии:

sudo apt install xrdp

После инсталляции запустите сервис:

sudo systemctl status rdp

⏺ В обратной ситуации, когда локальная машина работает под управлением Linux, пригодится утилита Remmina. Только в ней надо поменять протокол VNC на RDP. Несмотря на разные системы пользователь работает как в «родной» среде. Также используют клиенты Linux – Gnome Connection, Vinagre, Xfreerdp, Rdesktop.

Процесс установки пакета Remmina:

sudo apt-add-repository ppa:remmina-ppa-team/remmina-next
sudo apt-get update
sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standard

Network Academy | #RDP

👋 Привет, сетевой друг!



Сегодня я расскажу о плюсах и минусах RDP.

➕ Плюсы RDP

⬜️ RDP непривередлив к сети: он может работать через VPN, NAT, по TCP или UDP. Поддерживает переадресацию и т.п.
⬜️ Для работы достаточно 300-500 кбит скорости
⬜️ Мощный сервер позволяет запускать на слабом RDP-клиенте тяжелые приложения
⬜️ Возможность сеанса подключения Linux RDP к Windows

➖ Минусы RDP

⬜️ Использование приложений, требовательных к пингу (времени отклика), такие, как игры или просмотр видео, может быть затруднено
⬜️ Требование к стабильности сервера
⬜️ Передача данных (файлов, документов) между RDP-клиентом и сервером из-за скорости интернета может быть усложнена

Network Academy | #RDP

encrypted-dns-server

⏺ Простой в установке, высокопроизводительный прокси-DNS-сервер, написанный на Rust.

⏺ Поддерживает протоколы:
⬜️ DNSCrypt v2
⬜️ Анонимизированный DNSCrypt
⬜️ DNS-over-HTTP (DoH)

⏺ Все они могут обслуживаться одновременно через один и тот же порт (обычно порт 443). Прокси автоматически определяет, какой протокол используется каждым клиентом.

↪️ GitHub

Network Academy | #инструмент

👋 Привет, сетевой друг!



Сегодня я расскажу про популярный файрвол Iptables.

⏺ Операционные системы Linux, на которых чаще всего и функционируют серверы, имеют встроенный инструмент защиты – программный фильтр Iptables. Все сетевые пакеты идут через ядро приложения и проходят проверку на безопасность для компьютера. Сценария всего два – или данные передаются дальше на обработку, или полностью блокируются.

⏺ Под контроль попадают все данные, входящие на сервер, исходящие из него или проходящие через него как маршрутизатор (например, если компьютер используется в качестве прокси). Такой подход создает сплошной защитный экран (файрвол), через который тяжело проникнуть с вредоносными целями.

В следующем посте я покажу как установить данную утилиту.

Network Academy | #linux

👋 Привет, сетевой друг!



Сейчас я покажу как установить утилиту Iptables на CentOS 7.

⬜️ Перед началом установки нужно отключить firewalld, который может быть автоматически запущен в вашей ОС. Совместное использование его с iptables может вызвать конфликты.

systemctl stop firewalld
systemctl disable firewalld
systemctl mask --now firewalld

⬜️ Перед установкой Iptables, следует проверить, не установлена ли уже она в системе:

rpm -q iptables

⬜️ Если iptables нет в системе, значит переходим к ее установке:

yum install iptables-services

⬜️ Как только завершится установка брандмауэра, запустим его версии для IPv4 и для IPv6, а также добавим их в автозагрузку:

systemctl start iptables 
systemctl start ip6tables
systemctl enable iptables 
systemctl enable ip6tables

⬜️ Затем можно проверить статус работы запущенных служб, результат будет как на фото.

systemctl status iptables
systemctl status ip6tables

⏺ Скоро я напишу статью, где будет рассказано как настроить утилиту. Поддержи 👍

Network Academy | #linux