1. Введение в списки префиксов

Для управления обменом маршрутной информацией, ее приемом, отправкой или перераспределением, в Cisco IOS можно использовать различные методы фильтрации маршрутных обновлений, такие как списки распределения (distribute-list) и списки префиксов (prefix-list).
Использование списков распределения обладает определенными недостатками, такими как:

• ACL (Access-List, списки управления доступом), используемые в спискахраспределения, изначально разрабатывались для фильтрации пакетов, а не для фильтрации маршрутов
• Невозможность определения совпадения маски маршрута при использовании стандартных ACL
• Использование расширенных ACL может оказаться громоздким для конфигурирования
• Работа ACL достаточно медленна, так как они последовательно применяется к каждой записи в маршрутном обновлении

Списки префиксов разрабатывались как альтернатива использованию ACL, их можно использовать во множестве команд предназначенных для фильтрации маршрутов.

Доброго времени суток. В данной статье рассказ пойдет о нескольких возможных атаках на сетевое оборудование, защититься от которых поможет правильная конфигурация коммутаторов.

Вся терминология и конфигурационные команды приведены в соответствии с документацией компании Cisco, как негласный отраслевой стандарт. В начале описания каждой атаки содержится краткий экскурс в механизм работы атакуемого протокола. Рассчитана статья скорее на новичков, чем на сетевиков-профессионалов.

Рассматриваться будут:

• Rogue DHCP Server
• DHCP starvation
• CAM-table overflow
• VLAN hopping
• MAC-spoofing

За основу взят видеоурок CBT nuggets из цикла CCNA security.

Предисловие

Некоторые из вас наверняка недавно проходили Stanford'ские курсы, в частности ai-class и ml-class. Однако, одно дело просмотреть несколько видео-лекций, поотвечать на вопросики quiz'ов и написать десяток программ в Matlab/Octave, другое дело начать применять полученные знания на практике. Дабы знания полученые от Andrew Ng не угодили в тот же тёмный угол моего мозга, где заблудились dft, Специальная теория относительности и Уравнение Эйлера Лагранжа, я решил не повторять институтских ошибок и, пока знания ещё свежи в памяти, практиковаться как можно больше.

И тут как раз на наш сайтик приехал DDoS. Отбиваться от которого можно было админско-программерскими (grep / awk / etc) способами или же прибегнуть к использованию технологий машинного обучения.

Далее пойдёт рассказ о создании нейронной сети на Python 2.7 / PyBrain и её применении для защиты от DDoS'а.

Здравствуйте! Вы забыли заплатить за интернет, провайдер заблокировал TCP и UDP, а про ICMP забыл, и любой ресурс пингуется? Тогда этот топик для вас!

В рамках инициативы Microsoft Garage разработана утилита Mouse without Borders (MWB), которая позволяет управлять четырьмя компьютерами с помощью одной мыши и клавиатуры. Концепция напоминает известную open-source программу Synergy, которая уже обсуждалась на Хабре.

В отличие от Synergy, разработка Microsoft проще в установке и настройке, а также имеет ряд дополнительных возможностей: например, перетаскивание файлов мышкой с одного десктопа на другой, одновременная авторизация на всех компьютерах или PrtScreen с любого экрана. Недостаток по сравнению с Synergy очевиден: MWB работает только на одной платформе Windows, в то время как Synergy поддерживает Linux и Mac.

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

При таком тренде не может не радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний.

Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа (do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux (бывший Backtrack 5) в следующих частях.

Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:

Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z (2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

Недавно побывал на конференции на тему “Построение беспроводных сетей”. Не смотря на то, что довольно длительный период работаю администратором, мне не каждый день приходится разворачивать беспроводные сети. Спешу с вами поделиться некоторыми нюансами. Всех заинтересованных приглашаю под кат.

Сейчас многие покупают точки доступа 802.11n, но хороших скоростей достичь удается не всем. В этом посте поговорим о не очень очевидных мелких нюансах, которые могут ощутимо улучшить (или ухудшить) работу Wi-Fi. Всё описанное ниже применимо как к домашним Wi-Fi-роутерам со стандартными и продвинутыми (DD-WRT & Co.) прошивками, так и к корпоративным железкам и сетям. Поэтому, в качестве примера возьмем «домашнюю» тему, как более родную и близкую к телу. Ибо даже самые администые из админов и инженеристые из инженеров живут в многоквартирных домах (или поселках с достаточной плотностью соседей), и всем хочется быстрого и надежного Wi-Fi.
[!!]: после замечаний касательно публикации первой части привожу текст целиком. Если вы читали первую часть — продолжайте отсюда.

AAA (Authentication Authorization and Accounting) — система аутентификации авторизации и учета событий, встроенная в операционную систему Cisco IOS, служит для предоставления пользователям безопасного удаленного доступа к сетевому оборудованию Cisco. Она предлагает различные методы идентификации пользователя, авторизации, а также сбора и отправки информации на сервер.

Однако мало того, что ааа по умолчанию выключена; конфигурация этой системы — дело довольно запутанное. Недочеты в конфигурации могут привести либо к нестабильному, небезопасному подключению, либо к отсутствию какого-либо соединения в принципе. В данной статье мы подробно разберем схему настройки аутентификации при помощи aaa.

Всем привет! Надеюсь этот пост будет полезным для тех, кто хочет сдавать сертификацию по безопасности на основе IOS.
Так уже повелось, что для прежнего экзамена CCNA или как сейчас он называется CCNA Routing&Switching хватает софта из Cisco Networking Academy (Diccovery and Exploration) Cisco Packet Tracer, однако для отраслевых сертификаций он уже не подойдет. В этом случае, если, конечно, у Вас нет под рукой физического стенда, подойдет GNS3. Взглянем на темы экзамена CCNA Security. Понимаем что вопросами исключительно по IOS дело не обойдется: CCP, ASA, IPS. Что нужно? Правильно сконфигурированный стенд!
Итак, в одну корзинку кладем:

• PC host — CCP, ASDM, Kali — virual_box образы
• IOS Switch — в GNS не реализован, поэтому используем образ cisco 3745 с модулем NM-16ESW. В этом случае он будет функционировать как Switch L3 (Catalyst 3560)
• Router с функционалом Zone-based Firewall — образ IOS c3725-adventerprisek9-mz124-15.bin
• Cisco ASA — asa842 (kernel и initrd)
• Cisco IPS

Вот что-то такое должно быть…

По материалам этой статьи.

Генератор «от АНБ» основан на эллиптических кривых. Не надо их бояться, тем более что суть алгоритма и закладки можно описать более простыми словами. Будет не сложнее, чем понять как работает протокол Диффи — Хеллмана

Опубликованное недавно исследование базы паролей университета Карнеги-Меллон выявило несколько интересных корреляций между демографическими характеристиками и качеством паролей, которые используют люди. Уникальность этого исследования состоит в том, что все акккаунты, пароли к которым исследовались, принадлежат сотрудникам и студентам университета Карнеги-Меллон. Эти пароли использовались для доступа к весьма важным данным и функциям на университетском сайте, ограничения на длину и сложность пароля при регистрации были довольно строгими. В базе университета хранились подробные персональные данные всех пользователей, а в логах сервера аутентификации — информация о скорости ввода паролей, удачных и неудачных попытках входа. Всего было исследовано около 40 000 паролей от действующих и отключенных аккаунтов

Обычные базы паролей, доступные после утечек со взломанных сайтов, содержат много мусора в виде одноразовых аккаунтов случайных посетителей с паролями вроде «12345» или «password» и наоборот, мало информации о пользователях — обычно только логин или адрес электронной почты.

Последние дни весь интернет заполнен статьями о планомерном закручивании гаек в отношении приватности пользовательского трафика, закрытием торрентов и тому подобное. Как обычно, инициативы законодателей прикрываются благородными мотивами, но мы все прекрасно понимаем, что истинная причина кроется в желании получить контроль над информацией и не допустить каких-то нежелательных событий, угрожающих существующему режиму. Чем тоталитарнее система, тем больше ограничений, это факт.

Однако, Хабр вне политики, поэтому закончу эмоциональную вводную к статье.

Существует множество различных вариантов спасения от всевидящего ока спецслужб, но по моему скромному убеждению лучшим решением является VPN. Если человек не ищет анонимности, а заинтересован именно в конфиденциальности и целостности своих данных, то качественный VPN в режиме постоянного подключения — это то, что надо. Добропорядочному пользователю нет смысла шифроваться под чужими именами в сетях I2P, но есть смысл защитить свой трафик от прослушки третьими лицами.

Я не буду болтать о том как у нас тут хреново, и что никакой свободы, и что правительство вконец ох%$ло.

Сейчас Mesh сети распространяются по миру, причем при строительстве сетей можно выбирать между Mesh протоколами, есть проверенный временем B.A.T.M.A.N adv, есть новый и активно разрабатываемый cjdns, а есть «официальный» — IEEE 802.11s

О 802.11s крайне мало информации в рунете, так что давайте поговорим о том как он устроен, зачем он нужен и что он делает.

Содержание:

• Зачем нужен
• Что умеет
• Какие режимы работы поддерживает
• Сравнение с BATMAN/cjdns
• Почему хорошо, а почему не очень

Я надеюсь, что эта статья станет началом цикла заметок о lock-free структурах данных. Я хочу поделиться с хабрасообществом своим опытом, наблюдениям и размышлениями о том, что такое lock-free структуры данных, как их реализовывать, подходят ли концепции контейнеров стандартной библиотеки STL к lock-free контейнерам, и когда стоит (и стоит ли вообще) применять lock-free структуры данных.

Статический маршрут — первое, с чем сталкивается любой человек при изучении понятия маршрутизации IP пакетов. Считается, что это — наиболее простая тема из всех, в ней всё просто и очевидно. Я же постараюсь показать, что даже настолько примитивная технология может содержать в себе множество нюансов.

• Что такое домен коллизий?
• Сколько пар используется для Ethernet и почему?
• По каким парам идет прием, а по каким передача?
• Что ограничивает длину сегмента сети?
• Почему кадр не может быть меньше определенной величины?

Если не знаешь ответов на эти вопросы, а читать стандарты и серьезную литературу по теме лень — прошу под кат.

Наверное многие из хабражителей слышали о таком направлении исследований, как управление транспортными потоками. Над этой проблемой люди работают уже давно и, в результате, добились определенных успехов – адекватное моделированное городских транспортных потоков позволяет значительно облегчить работы по разгрузке городских дорог, снизить аварийность за счет оптимальной расстановки и настройки светофоров, определить оптимальные варианты устранения пробок на наиболее загруженных местах.
Однако, серьезно заниматься близкой к вышеупомянутой проблемой достоверного моделирования поведения пешеходных потоков ученые начали сравнительно недавно. В данной статье я постараюсь познакомить читателей с некоторыми существующими моделями пешеходных потоков, и рассказать об их свойствах и особенностях.

Ничего не предвещало беды, как вдруг в 2 часа ночи раздался телефонный звонок.

— Алло, милый! У меня youtube не работает!
— Прекрасно, иди спать!
— Нууу! Там новая серия вышла!
— Завтра всё сделаю!
— Ну Заяя, нуууу!
— Ладно! Ладно! Сейчас.
…

Из этого поста вы узнаете ответы на следующие вопросы:
Как спасти свою милую от стресса в 2 часа ночи? Как вернуть доступ к youtube.com, если ваш провайдер его заблокировал? Как быстро поднять VPN и настроить клиентские устройства (Android, Windows, Debian, dd-wrt) для работу с ним? Как безопасно серфить интернет на открытых точках доступа? Как заработать карму в глазах своей возлюбленной? Если вам это интересно, добро пожаловать под кат!