Сетевое оборудование

О том, как провайдеры широкополосного интернета измеряют реальные показатели пропускной способности своей сети, ходят настоящие легенды. Показатели вроде бы и высокие, но мало кто из клиентов провайдеров получает обещанную своим провайдером скорость доступа к глобальной сети. Дело в том, что практически во всех странах поставщикам услуги разрешали указывать максимально возможную скорость. А это означает оптимальные условия, которые вряд ли достижимы (например, одновременная работа в сети ограниченного количества пользователей в указанном регионе в ночное время).

Еще в 2010 году Федеральная комиссия по связи США опубликовала отчет, в котором говорилось о завышении реальной скорости провайдерами относительно реальной примерно на 63-116%. С течением времени ситуация не изменилась — превышение «показательных» значений относительно реальных составляет десятки процентов и сейчас. Но ситуация понемногу начинает меняться, по крайней мере, в Великобритании.

Взлом с подменой dns достаточно распространенный способ атаки. В первую очередь из-за его простоты. Суть атаки в изменении адреса dns в настройках сетевого оборудования жертвы на адрес dns-сервера злоумышленника с целью возврата ложных ip. А уже далее, кто во что горазд — от банальных фишинговых страничек соцсетей для кражи паролей до якобы провайдерской заглушки с требованиями оплаты.

Самое интересное во всем этом я считаю способы, с помощью которых боты, так или иначе, попадают на роутеры. И сегодня я про один из таких способов расскажу.

Автор статьи — архитектор решений безопасности (Security Solutions Architect) в подразделении CERT

В последнее время много внимания привлекла вредоносная программа VPNFilter, особенно после публичного объявления ФБР 25 мая и ряда объявлений от производителей устройств и компаний в области безопасности. Рассмотрим зловред VPNFilter: какие уязвимости он использует и как, оценим его влияние на интернет. Я также излагаю рекомендации для производителей устройств интернета вещей (IoT), в том числе домашних маршрутизаторов, которые стали целью VPNFilter. Поскольку в статье подчёркивается приоритетность нескольких критических уязвимостей, я повторю рекомендации, сделанные в марте 2017 года в статье о ботнете Mirai.

История уязвимостей

Статья в блоге Cisco о VPNFilter содержит подробные данные об устройствах, подверженных этой уязвимости, которая затронула «по крайней мере 500 тыс. сетевых устройств во всём мире». VPNFilter в некотором смысле похож на Mirai, поскольку тоже нацелен на устройства IoT, в частности, на домашние маршрутизаторы. Кроме того, сейчас известно, что ботнет Mirai использовал четыре 0day-эксплойта, кроме обычного подбора стандартных пар логин-пароль для компрометации устройств IoT. Недавно была обнаружена новая версия ботнета Mirai, тоже нацеленная на домашние маршрутизаторы.

Продолжаем рассказ о системе построения и управления распределенными сетями Zyxel Nebula. В этот раз поговорим о развитии сетевой инфраструктуры в филиалах.

В предыдущей статье «Сверхновое облако Zyxel Nebula» — экономичный путь к безопасности?" мы рассмотрели вопросы, связанные с организацией сетевой инфраструктуры для небольших предприятий. В этот раз мы поговорим о ситуации, когда компания растёт и развивается.

Когда строится большой офис, больница, аэропорт, гостиница, завод или другое крупное здание, в контексте сетевого оборудования, рано или поздно поднимается вопрос — на чём строить сеть? Какого вендора выбрать и почему? Какое оборудование решит задачи за минимальную стоимость? В одних случаях этот вопрос задается интегратору, в других же ему ставится условие.

Выбор этот всегда непростой, ибо времена, когда была актуальна фраза “Вы можете получить “Форд-Т” любого цвета, при условии, что этот цвет будет черным” прошли. Выбор есть. Как же сделать его правильно?

Недавно столкнулся с проблемой: у клиента две Cisco ASA 5512-x, которые работают в режиме active/standby. Клиент забыл обновить пароли, и у всех пользователей истек срок действия пароля. ASA при попытке залогиниться только лишь сообщает об истечении срока действия и не даёт возможности сменить пароль. Так как срок действия истек у всех пользователей, то каким-либо способом подключиться и сменить пароль не представлялось возможным. Всегда был железный вариант сбросить пароль при помощи изменения регистра, но тут без простоя не обойтись. Такой вариант не подходил. Было решено использовать standby ASA, чтоб избежать простоя. Но и там были свои нюансы:

1) Если просто перезагрузить standby ASA, зайти в ROMMON mode, поменять регистр и загрузиться, то мы получим доступ и сможем сменить пароли, но как только выполним

copy startup-config running-config

то сразу standby ASA найдет активную ноду и уже будет синхронизировать конфиг оттуда.

2) Если же отключить синхронизацию и только потом загрузить конфигурацию, то standby ASA возьмет себе активные ip адреса и у нас будет конфликт.

После размышлений был придуман следующий план:

1. Перезагружаем standby ASA, заходим в ROMMON, меняем регистр на 0x41 и загружаемся:

rommon #1> confreg 0x41

rommon #2> boot

Перед тестовым запуском

О проекте Project Loon на Хабре писали не раз. Он заключается в раздаче интернета при помощи сетевого оборудования, которое поднято высоко в небо. А поднимают его при помощи аэростатов. Таким образом, один относительно небольшой аэростат может обеспечить покрытие беспроводной сетью достаточно крупного региона. До настоящего момента Project Loon был чистой воды изысканием — компания Project X (подразделение холдинга Alphabet) тестировала возможность реализации описанной выше идеи.

Но крупные компании ничего не делают просто так — рано или поздно речь идет о зарабатывании денег. Так случилось и в этот раз — представители Project X подписали договор с компанией Telkom Kenia о начале работ по разворачиванию «воздушной инфраструктуры» в Кении. Собственно, на регионы, где проникновение широкополосного интернета ниже обычного уровня, этот проект и был рассчитан.

Компания Google анонсировала проект нового подводного кабеля Dunant, названного в честь Анри Дюнана, инициатора создания международной гуманитарной организации Красный Крест, первого в истории лауреата Нобелевской премии мира.

Как медики Красного Креста помогают раненым на поле боя, так и кабель Dunant в каком-то роде призван помочь кластеру в Северной Виргинии (Northern Virginia Cloud Region), где сейчас Google строит два больших дата-центра. Эти дата-центры станут ключевым элементом инфраструктуры Google Cloud на Восточном побережье США. В свою очередь, Dunant свяжет этот кластер с Европой. Первый трафик пойдёт по кабелю в 2020 году.

Громадная антенна на фото выше – это Мерчисонская радиоастрономическая обсерватория в Западной Австралии. Она состоит из 36 комплексов с зеркальными антеннами работающими в диапазоне 1.4 ГГц. Главное зеркало каждой антенны достигает 12 метров в диаметре, а все вместе антенны лишь часть радиотелескопа Pathfinder. Десятки таких антенн работают слаженно, чтобы увидеть самые дальние горизонты вселенной, однако в скором времени сотни тысяч антенн планируют объединить в одну систему. Кому интересно прошу под кат.

Рабочая група начала работу над стандартом еще в 2014 году и сейчас идет работа над draft3.0. Что несколько отличается от предыдущих поколений стандартов 802.11, ведь там вся работа укладывалась в два драфта. Происходит это по причине достаточно большого числа запланированных комлексных изменений, которые соответственно требуют более детального и сложного тестирования совместимости. Изначально перед группой стояла задача улучшения эффективности использования спектра для повышения пропускной способности WLAN с высокой плотностью абонентских станций и точек доступа. Основными драйверами для развития стандарта были: увеличения количества мобильных абонентов, live-трансляции в соц.сетях (упор на upload траффик) и конечно же IoT.

Cхематически нововведения выглядят следующим образом:

Эта статья открывает серию публикаций о Zyxel Nebula. Будет рассказано о перспективных возможностях, вариантах применения и некоторых особенностях новой системы управления оборудованием от Zyxel.

Не хочу отказываться от заголовка. Ведь он выполняет свою задачу – привлекает внимание. Искренне прошу не сердиться, если содержание статьи не оправдало ваших ожиданий. Время теперь такое. «Такие материалы», — говорили они «нужно размещать на форумах для любителей, а на Хабре только высокоинтеллектуальная IT публика рассказывает о том, чего вам и не понять никогда да и пытаться понимать не нужно». Однако, Слава Хабру! Он достаточно демократичен.

Что-то зацепила меня тема сетевой безопасности в части анализа сетевого трафика и обнаружения Несанкционированной Сетевой Активности (далее по тексту НСА).

Предисловие

Всем доброго времени суток!

Работаю сетевым инженером у крупного оператора связи, и под моим управлением имеется целый зоопарк разного сетевого оборудования, но речь пойдет о коммутаторах доступа.

Данная статья это не руководство к действию, не единственное решение и явно не претендует на номинацию скрипт года, но я хочу поделиться этим творением, и может быть кому-нибудь он пригодится.

В статье будет приводиться блок кода под спойлером, а под ним будет описание с вырезками и объяснениями почему именно так и для чего это.

Задача

Использовать именно python3. Скрипт должен уметь попадать на коммутаторы из списка, определять что за вендор, давать требуемую команду, логировать.

Собственно как я к этому пришел

Столкнулся с небольшой проблемой по изменению конфигурации на большом количестве коммутаторов, сразу оговорюсь системы централизованного администрирования сетевого оборудования у нас есть, куча наработок моих коллег в виде скриптов для облегчение ручного труда тоже имеется, в основном bash, perl.

Но для меня было важно сделать что-то свое, т.к. изучать python я начал недавно и нужно прокачивать скил в программировании, и мой инструмент должен быть похож на молоток (прост в использовании, и легок в обслуживании). Если интерес до сих пор остался тогда прошу под кат.

Увы, но ответ неоднозначный – и да, и нет. Выбрать-то, конечно, легко, но запутаться еще проще. Так вот, о том, как не запутаться, и пойдет речь.

ДГУ у вас или другое оборудование — универсального решения по дистанционному мониторингу и управлению, которое подходит всем, умеет все и стоит дешево, не существует. Ограничения есть всегда. Один вариант предлагает скудный набор функций, но за копейки, другой наоборот – требует высокой цены, но за большие возможности. А между ними будут бесчисленные вариации, сочетающие в себе функциональность и цену в разных пропорциях. И кажется, что можно легко потеряться в этом море решений. Хотя…



Но на самом деле все проще, ведь вариантов решений всего 3, и в них можно разобраться.

25 июня 2018 года Wi-Fi Alliance официально представил программу сертификации Wi-Fi CERTIFIED WPA3. Это первое за последние 14 лет обновление протоколов безопасности Wi-Fi.

По заявлению альянса, WPA3 (Wi-Fi Protected Access 3) «добавляет новые функции для упрощения безопасности Wi-Fi, обеспечения более надёжной аутентификации, повышения криптографической стойкости для высокочувствительных рынков данных и обеспечения отказоустойчивости критически важных сетей». Во всех сетях WPA3:

• Используются последние методы безопасности
• Запрещены устаревшие протоколы
• Обязательна функция защиты управляющих фреймов от компрометации PMF (Protected Management Frames)

Геологи и сейсмологи сейчас активно используют технологические достижения. Сейсмические датчики, которые позволяют отслеживать колебания земной коры, становятся все более чувствительными и все менее дорогими. Благодаря этому ученые получают возможность устанавливать сотни и тысячи таких устройств, правда, преимущественно на суше.

Но, как оказалось, можно обойтись и вообще без датчиков, используя элементы сетевой инфраструктуры, расположенные на дне морей и океанов. До настоящего момента установка специализированных устройств под водой обходилась ученым очень дорого — настолько, что в морях и океанах установлены едва ли не единичные системы. К счастью, их можно заменить — оптоволоконными кабелями.

Введение

Аналитическое подразделение Cisco Talos, совместно с технологическими партнерами, выявило дополнительные подробности, связанные с вредоносным ПО «VPNFilter». С момента первой публикации по данной тематике мы обнаружили, что вредоносное ПО VPNFilter нацелено на большее количество моделей устройств и расширили список компаний, продукция которых может быть инфицирована. Кроме того, мы установили, что вредоносное ПО обладает дополнительными функциями, включая возможность реализации атак на пользовательские оконечные устройства. В недавней публикации в блоге Talos рассматривалась крупномасштабная кампания по распространению VPNFilter на сетевые устройства для дома или малого офиса, а также на ряд сетевых систем хранения данных. В той же публикации упоминалось, что исследование угрозы продолжается. После выпуска первой публикации несколько отраслевых партнеров предоставили нам дополнительные сведения, которые помогли нам продвинуться в расследовании. В рамках данной публикации мы представляем результаты этого расследования, полученные в течение последней недели.

Несколько недель назад специалисты по информационной безопасности предупредили об опасном зловреде, получившем название VPNFilter. Как оказалось, главной целью этого malware являются роутеры самых разных производителей. Одной из первых на VPNFilter обратила внимание команда специалистов по инфобезу из Cisco Talos.

Зловред постоянно совершенствуется разработчиками. Недавно был обнаружен новый модуль, который использует тип атаки man-in-the-middle в отношении входящего трафика. Злоумышленники могут модифицировать трафик, проходящий через роутер. Также они без проблем могут перенаправлять любые данные на свои сервера. Модуль вируса получил название ssler.

В мире очередная напряженочка. Главы государств осыпают друг друга грозными “официозами” и судорожно нащупывают ядерную конку. Мол, здесь ли она, рядом. Человечество уже привыкло к подобными ситуациям, тем более, что с развитием массовых коммуникаций и появлением ядерного оружия, ощущение периодической напряженности переросло в перманентное. Даже массы культурных произведений посвящены последствиям ядерного апокалипсиса.

Под катом интереснейший рассказ о том, как американские технари и военные построили передовую систему оповещения о ядерной угрозе, которая стала прообразом современной мировой паутины.

Сегодня ИТ является неотъемлемым инструментом работы сотрудников практически любой компании. Подключение к корпоративным ресурсам и использование средств коммуникации необходимы для непрерывности бизнеса.

Офисные работники в теплое время зачастую используют офисный двор для переговоров, уединенной работы, общения, радуясь тишине и свежему воздуху.

Водители, прибывающие на склады уже на парковке хотели бы заходить в сеть и получать дальнейшие инструкции.

Опыт от посещения торгового центра начинается у клиентов уже на парковке, расположенной на улице.

Работники больших промышленных компаний, использующих множество зданий за ограждением хотели бы оставаться в сети при многочисленных перемещениях из здания в здание.

Встает вопрос организации уличного Wi-Fi, который позволит оптимизировать доступ в корпоративную сеть в непосредственной близости к офису.

Как организовать уличный Wi-Fi в РФ?