Cisco *

Введение

Практически любое внедрение Web Security Gateway, будь то облачное SaaS решение, вроде Zscaler или on-premises appliance, такое, как Cisco WSA (IronPort), не обходится без конфигурирования прокси-серверов в браузерах при определенных кейсах и потому по работе мне часто приходится сталкиваться с файлами авто-конфигурации прокси-серверов (PAC, proxy auto configuration). В этой статье я бы хотел рассмотреть несколько примеров оптимизации их производительности.

Зачем нужна эта статья

Почему я решил написать эту статью и есть ли в ней польза? Надеюсь, что да, и вот почему. По сути, PAC-файл есть JavaScript функция поиска соответствия строки/подстроки полей url/host, которая возвращает имя прокси сервера для ресурса или предписывает браузеру использовать прямой доступ к ресурсу в обход прокси. Как и любой язык программирования, код JavaScript также можно оптимизировать для выполнения. В условиях крупных компаний/предприятий со сложной, распределенной инфраструктурой доступа к сети Интернет и, как следствие, PAC-файлами, состоящими из нескольких сотен строк кода, задача по оптимизации PAC-файлов уже не кажется чем-то абсолютно бесполезным, так как, например, проценты времени исполнения одной не оптимальной или используемой не к месту функции, очевидно, будут помножены на количество её вхождений (применений) её в коде.

Далее под катом.

Относительно недавно наша компания организовала программу стажировки для молодых специалистов по направлениям:

1. Основы сетевых технологий (Cisco).
2. Серверное администрирование (Windows, Linux).
3. Технологии виртуализации и систем хранения данных (VMware, Microsoft Hyper-V).
4. Современные средства защиты информации (UTM, NGFW, Sandbox и т.д.).
5. Этичный хакинг (CEH) и Pentest.
6. Обработка машинных данных (Log management — Splunk, MaxPatrol SIEM)

Если взять сетевое направление, то в ходе практики, почти у всех начинающих сетевых инженеров или студентов данного направления возникает вопрос: “Что нужно знать сетевому инженеру? На чем сосредоточить силы?”. Я всегда начинал советовать какие-то темы и направления, затем понял, что было бы неплохо составить некий чек-лист, для молодых инженеров, чтобы у них был ясный вектор развития. Кроме того я попытаюсь дать ссылки на ресурсы, где эти навыки можно получить. Естественно универсального списка нет и все что я могу предложить это свое представление о необходимых навыках любого сетевого инженера. Данный список составлялся на основе личного опыта и отражает то, с чем чаще всего приходится сталкиваться в работе. Уверен, что у большинства есть свое мнение на счет обязательных навыков и скорее всего оно не совпадает с моим. Если вас заинтересовала данная тема, то добро пожаловать под кат…

Современные предприятия все чаще сталкиваются с задачами, для которых традиционные серверы и СХД уже не могут служить идеальным решением. Объединить вычислительную платформу, виртуальные машины и систему хранения данных в единую распределенную инфраструктуру позволяет гиперконвергентная инфраструктура Cisco HyperFlex.

Уверен, что у большинства системных администраторов или сетевых инженеров возникал вопрос: "Правильно ли я настроил межсетевой экран и что еще можно сделать для лучшей защиты?". Естественно, в этом вопросе стоит опираться на различные руководства (PCI DSS, ISO, NIST и т.д.) и здравый смысл. Помощь более опытных коллег также приветствуется.

В рамках же данной статьи мы попробуем описать основные рекомендации или лучшие практики (best practices) по настройке межсетевых экранов. Это некий “чек-лист”, следуя которому можно существенно повысить качество защиты сети. Руководство составлено специально для оборудования Check Point, однако оно также может быть использовано, как основа для самостоятельного аудита сети, построенной на оборудовании других вендоров (Cisco, Fortinet, Palo Alto и т.д.). Если вас это заинтересовало, то добро пожаловать под кат…

В статье рассматривается сегментация сети — важный инструмент обеспечения информационной безопасности (ИБ), позволяющий значительно снизить вероятность инцидентов безопасности и связанный с ними ущерб даже в случае проникновения злоумышленников внутрь периметра корпоративной сети.

Приветствую на очередной статье по основам компьютерных сетей. Сегодня затронем еще одно семейство протоколов в мире коммутации. И сегодня мы поговорим о протоколах связующего дерева или STP. Узнаем, как это дерево строиться, как можно им управлять, что такое петли, как с ними бороться. Тема интересная, поэтому приглашаю ознакомиться поподробнее.

Пошаговое руководство по выполнению наиболее типовых задач, связанных с обслуживанием коммутаторов Cisco Catalyst 2950. А именно: настройка VLAN, сброс пароля, переустановка повреждённой операционной системы Cisco IOS. Подробно рассмотрен вопрос подключения, в том числе через com-порт.

Предположим, что вы плохо владеете сетевыми технологиями, и даже не знаете элементарных основ. Но вам поставили задачу: в быстрые сроки построить информационную сеть на небольшом предприятии. У вас нет ни времени, ни желания изучать толстые талмуды по проектированию сетей, инструкции по использованию сетевого оборудования и вникать в сетевую безопасность. И, главное, в дальнейшем у вас нет никакого желания становиться профессионалом в этой области. Тогда эта статья для вас.

Наверное, многим интересно, как же команде Telegram удалось сделать популярную для мессенджеров функцию голосовых звонков уже сразу после запуска разительно отличающейся по качеству в лучшую сторону перед многими другими VoIP — сервисами.

Во время изучения работы Telegram Calls я обратил внимание на интересную техническую деталь, которая используется на сетевом уровне и помогает уменьшить задержки при прохождении пакетов, когда при соединении используются релейные сервера.

Когда речь заходит о коммутаторах Cisco Nexus, один из первых вопросов, который мне задают: поддерживается ли на них стекирование? Услышав отрицательней ответ, следует логичное «Почему?».

В феврале этого года в России открылись к заказу точки доступа Cisco Aironet серий 2800 и 3800 — флагманские точки портфолио Cisco с поддержкой стандарта 802.11ac Wave 2. Эти продукты позволяют достичь невиданной ранее производительности в сети Wi-Fi – 5.2Гб/с. Производство точек доступа серий 2800, 3800 находится в России, в городе Тверь.


Cisco Aironet серий 2800 и 3800 разработаны для надежной, продолжительной и высокопроизводительной работы.

Иногда мы рассказываем о других компаниях, например, недавно мы рассказывали о кейсе с падением AWS. Сегодня мы решили вспомнить историю развития Cisco, крупнейшего игрока на рынке сетевого оборудования.

Когда точка доступа уже подключилась к контроллеру (AP Join), есть два механизма, которые влияют на выбор контроллера:

• Если точка доступа теряет связь с существующим контроллером, то запускается механизм AP Failover.
• Если точке доступа, не теряя связь с контроллером, требуется перейти на другой контроллер, для этого существует механизм AP Fallback

AP Failover

AP Failover использует следующую информацию в порядке приоритета (cначала наибольший приоритет).

1. Per AP Primary, Secondary и Tertiary controller
2. Global Backup Primary/Secondary WLC
   
   • Эти параметры начинают работать только когда активирован FastHeartbeat Timeout.
   • Данная информация не сразу активируется на точке, а через какое то время. Она должна появиться в так называемом Backup WLС arrey.
3. WLC Mobility Group Membership
   

Уверен, что все кто интересуется вопросами информационной безопасности, знакомы с выражениями: "Таргетированная (целевая) атака", "Уязвимость нулевого дня", "0-day" или даже Advanced Persistant Threats (ATP). Данные темы можно смело назвать главным трендом в сфере Информационной безопасности. Те же шифровальщики являются одним из подвидов перечисленных угроз. На сегодняшний день, Песочницы (SandBox) это единственные средства, которые позволяют бороться с выше упомянутыми угрозами. Большинство лидеров в сфере ИБ (CheckPoint, Fortinet, PaloAlto, FireEye, TrendMicro и т.д.) уже обзавелись решениями класса «сетевые песочницы». И если еще пару лет назад многие относились к данным решениям как к чему-то экзотическому, то сейчас большинство признают, что Песочницы становятся чуть ли не обязательными для любой защищенной сети. Однако в рунете довольно мало информации о подобных продуктах и принципах их работы. В связи с этим мы решили поделиться собственным видео курсом, где вкратце рассмотрим основные моменты. В качестве примера, мы на практике покажем возможности работы решения CheckPoint SandBlast, его особенности и отличия от других решений.

Курс состоит из трех частей. Первая часть будет посвящена обзору текущей ситуации в мире ИБ, после чего мы сделаем некоторые выводы относительно эффективности традиционных средств защиты. А чтобы не быть голословными, мы на практике рассмотрим пример процесса заражения компьютера жертвы (с помощью Kali Linux). В тексте будет довольно много картинок из презентации и если вам лень читать, то можете посмотреть видео в конце статьи. Всем заинтересовавшимся добро пожаловать под кат…

После поиска точкой всеми доступными способами контроллеров, посылки им Discovery request, получении Discovery response, формируется список контроллеров (controller list), после чего решается, к какому контроллеру попробовать подключиться (послать Join Request).

Каким же образом точка доступа выбирает, к какому контроллеру подключиться?

CAPWAP Join Phase IPv4 (WLC Selection process) в Cisco Wireless AireOS

В Discovery response от контроллера возвращается следующая информация

• Ap-Manager интерфейс контроллера (именно к нему подключаются точки доступа, это может быть один и тот же логический IP интерфейс, что и Management);
• sysname контроллера;
• тип контроллера;
• количество подключенных точек (к AP-Manager интефрейсу) и свободная емкость контроллера (сколько еще точек доступа можно подключить);
• флаг Master Controller Mode.

Точка доступа посылает Join Request в следующей очередности, последовательно (только тем, от которых получила Discovery response, то есть которые присутствуют в controller list):

1. Точка доступа пытается послать Join Request контроллеру Primary Controller. Sysname в discovery response и прописанный на точке доступа должны совпадать!
2. Если в сontroller list нет контроллера, который прописан как Primary, то точка доступа пытается послать Join Request следующему, Secondary Controller
3. Если в controller list нет контроллеров, которые прописаны как Primary, Secondary, то точка доступа пытается послать Join Request контроллеру Tertiary.
4. Контроллер с установленным флагом Master Controller Mode
5. Если точке доступа не удалось подключиться на этапе 1-4, то она из оставшегося списка выбирает контроллер с наибольшей свободной ёмкостью. Тем самым, точки доступа балансируются между контроллерами (AP-Manager) интерфейсами контроллера(ов).
   

Архитектура Unified Wireless Network предполагает централизованное управление всеми точками доступа (далее ТД) с единого интерфейса — контроллера беспроводной сети, на который точки доступа должны предварительно зарегистрироваться.

Для быстрого устранения неисправностей в беспроводной сети очень полезно понимание CAPWAP State Machine (последовательности перехода состояний) при взаимодействии точки доступа и контроллера. CAPWAP State Machine описан в стандарте RFC 5415 (CAPWAP Protocol Specification). В данной статье детально описаны состояния Discovery в реализации Cisco Unified Wireless. В последующих статьях будут описаны состояния Join, Failover и Fallback в реализации Cisco Unified Wireless.

CAPWAP Discovery Phase IPv4 в Cisco Wireless AireOS

Регистрация точки доступа на определенный контроллер состоит из следующих этапов:

1. Discovery Phase (фаза обнаружения);
   
   • Точка доступа посылает CAPWAP Discovery Request всем известным контроллерам;
   • Каждый контроллер, получивший CAPWAP Discovery Request отвечает сообщением CAPWAP Discovery Response;
2. Join Phase (фаза подключения)
   
   • Исходя из данных, собранных в СAPWAP Discovery Response пакетах, точка доступа выбирает, к какому контроллеруподключиться и посылает ему CAPWAP Join request
   • Контроллер проверяет точку доступа и посылает CAPWAP Join response
   • Точка доступа проверяет контроллер.

Всё циска, да циска со своим файерпавером. Но вот мы взяли на тест МСЭ от Huawei. Причём модный МСЭ, нового поколения. Посмотрели, пощупали, решили поделиться первыми впечатлениями. Сразу скажу, никаких нагрузочных тестирований мы не проводили, ознакомились только с функциональностью.

Злоумышленники, для заражения компьютеров пользователей, очень часто применяют методы, направленные на обман пользователей, набирающих в строке браузера адрес интересующего их сайта. Например, typosquatting (он же URL hijacking), то есть использование ошибок пользователей, которые могут ошибиться в написании домена на клавиатуре. Например, если в написании домена cisco.ru ошибиться и вместо первой буквы «c» набрать стоящую на клавиатуре рядом букву «v», то мы попадем не на сайт Cisco, а на домен, который в данный момент находится в продаже.


А если, например, ввести вместо «sberbank.ru» домен «sbrrbank.ru» (спутав стоящие рядом «e» и «r»), то мы попадем на вот такой ресурс.

Оборудование HPE Aruba не очень распространено в России, однако на американском рынке вендор достаточно тесно конкурирует с Cisco. Беспроводные решения этих производителей имеют схожий набор функций и дополнительных сервисов. Оборудование сравнимо по стоимости.

Существует множество маркетинговых тестов, сравнений технических характеристик, производительности и технологий каждого решения. Изучив документацию, убеждаешься, что по функциям решения очень похожи. Однако, кроме функционального сходства присутствует немного разный подход производителя к настройке, принципам работы, архитектурные отличия. Именно на это и хотелось бы обратить внимание. Это заметка о том, как цисководы настраивали HPE Aruba и что из этого вышло.

Если честно, не понимаю почему на Хабре до сих пор не освещена данная тема. Исправим это недоразумение. В прошлой статье мы затронули тему проверки эффективности существующих средств защиты. Данный инструмент весьма полезен, однако все мы понимаем, что это слабый тест. К тому же этот тест синтетический. Как оценить реальную сеть с реальным трафиком? Какие угрозы действительно для вас актуальны, есть ли в сети зараженные компьютеры, какие приложения запускают пользователи и кто «выкачивает» весь трафик? Как правило для этого приходится использовать кучу различных средств:

1. Средства для проверки почты и их вложений;
2. Средства для анализа посещаемых сайтов и объемов трафика;
3. Средства выполняющие функции потокового антивируса;
4. Средства анализа трафика (IDS);
5. И многое другое.