• Я думал, что знаю про cisco все…

      image

      За 14 лет работы с ней, в разных ипостасях, от преподавателя и хакера, до интегратора и продавца, я высокомерно считал, что меня сложно удивить.

      Но это удалось.

      Представьте такую простую ситуацию: заперлись вы в домике вдвоем, в кам подходит овечка и чистым английским текстом поет

      «Вы видите не то, что я есть. Матрица вас поимела! Вы думаете своими смешными крошечными мозгами, что перед вами каталист 2960X, а вот фиг! Выбросьте свои ccie-вые доски на помойку. Пришла новая эра!»

      Ну или почти так (оригинал, дословно, экстренным копипастом из консоли):
      Читать дальше →
      • –3
      • 10,2k
      • 6
    • Руки прочь от консоли

        image

        Любой организм стремится к гомеостазу. То есть к стабильности, предсказуемости, спокойствию.

        Это означает, что любая встряска, любое резкое изменение порождает стресс. Особенно, если в 3 часа ночи, особенно если сразу надо что-то с этим делать, разбираться, чинить…

        Кому знакома ситуация, когда что-то очень важное (база данных, финансовый сервис, айпад генерального) ВДРУГ перестают работать. Это всегда происходит вдруг… А вы как назло, отвечаете своей головой за это важное.

        Большинство людей, включая меня, в этот момент испытывают реальный стресс. Сильный и опасный.

        Вспоминаю случаи, когда мы делали по ночам работы по настройке сетевой безопасности РАО ЕЭС России, а потом нам звонили «срочно-все_сломалось-чините!». Сколько косяков я мог избежать, если бы не ломился сразу вбивать команды с колотящемся сердцем… Сколько оправданий можно было бы не придумывать. Ведь стыдно признаться в своей поспешности и глупости…
        Читать дальше →
      • IPv6 в Cisco или будущее уже рядом (Часть 2)

          Публикую продолжение вот этой статьи.

          Статические маршруты

          Таблица маршрутизации протокола IPv6 по умолчанию содержит не только непосредственно подключённые сетки, но также и локальные адреса. Кроме того, в ней присутствует маршрут на групповые адреса.

          R1#show ipv6 routing
          IPv6 Routing Table - Default - 3 entries
          Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
                 HA - Home Agent, MR - Mobile Router, R - RIP, I1 - ISIS L1
                 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
                 EX - EIGRP external
          C   2001:DB8::/64 [0/0]
               via GigabitEthernet0/0, directly connected
          L   2001:DB8::1/128 [0/0]
               via GigabitEthernet0/0, receive
          L   FF00::/8 [0/0]
               via Null0, receive
          


          Привычным способом задаются статические маршруты в IPv6. Единственное, что хотелось бы отметить, что при использовании link-local адресов кроме самого адреса следующего перехода необходимо указать и интерфейс.
          Читать дальше →
          • +14
          • 17,7k
          • 7
        • IPv6 в Cisco или будущее уже рядом (Часть 1)

            image

            Введение



            Протокол IPv6 является наследником повсеместно используемого сегодня протокола IP четвёртой версии, IPv4, и естественно, наследует большую часть логики работы этого протокола. Так, например, заголовки пакетов в IPv4 и IPv6 очень похожи, используется та же логика пересылки пакетов – маршрутизация на основе адреса получателя, контроль времени нахождения пакета в сети с помощью TTL и так далее. Однако, есть и существенные отличия: кроме изменения длины самого IP-адреса произошёл отказ от использования широковещания в любой форме, включая направленное (Broadcast, Directed broadcast). Вместо него теперь используются групповые рассылки (multicast). Также исчез ARP-протокол, функции которого возложены на ICMP, что заставит отделы информационной безопасности внимательнее относиться к данному протоколу, так как простое его запрещение уже стало невозможным. Мы не станем описывать все изменения, произошедшие с протоколом, так как читатель сможет с лёгкостью найти их на большинстве IT-ресурсов. Вместо этого покажем практические примеры настройки устройств на базе Cisco IOS для работы с IPv6.
            Многие начинающие сетевые специалисты задаются вопросом: «Нужно ли сейчас начинать изучать IPv6?» На наш взгляд, сегодня уже нельзя подходить к IPv6 как к отдельной главе или технологии, вместо этого все изучаемые техники и методики следует отрабатывать сразу на обоих версиях протокола IP. Так, например, при изучении работы протокола динамической маршрутизации EIGRP стоит проводить настройку тестовых сетей в лаборатории как для IPv4, так и для IPv6 одновременно. Перейдём от слов к делу!

            Читать дальше →
          • IOS. Версии, лицензии и что делать в РФ

              У начинающих cisco-водов много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

              Будем обсуждать IOS для самых распространенных маршрутизаторов – Integrated Services Router (ISR) первой и второй «волны» (G1 и G2). Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние, конечно, бывают, но встречаются сейчас крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.

              Начиная с этой линейки у cisco появилось понятие «стабильный» или «основной» образ (main deployment, MD), «ранние версии» (early deployment, ED), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.
              Читать дальше →
            • Безопасность в Интернете для детей (продолжение)

                Вот тут я писал, что провел среди третьеклассников (класс моего старшего сына) пробную презентацию об азах безопасности в Интернете. Я дополнил презентацию новой главой про простые/сложные пароли и дал простенький метод придумывать сложные пароли. Обновленная презентация лежит здесь. Ей, как и предшественницей, можно свободно пользоваться, не забывая показать последний слайд :) (там автор и его е-мейл)
                Читать дальше →
              • Безопасность в Интернете для детей

                  Предыстория: в преддверии 23 февраля вызвался для класса своего старшего сына (3 класс) прочитать коротенькую «страшилку» про интернет и опасности, таящиеся в нем.

                  Собственно, презентация (читал около часа с вопросам и живым участием детей) лежит здесь http://www.anticisco.ru/pubs/Internet_IB_v1.pdf
                  Читать дальше →
                • Кризис внимания

                    Дисклаймер: данная статья — плод размышлений и наблюдений за собой, коллегами, собеседниками, друзьями… Наверняка, мысли банальны и не я первый их высказываю, но это значит что проблема назрела.
                    Чтобы не повторять других ораторов и привнести что-то свое, попробую не только завесить проблему, но и прикинуть пути решения проблемы.

                    Итак, проблема: люди нового поколения (компьютеров, интернета, мобильных телефонов) не могут сосредоточиться. Не новая мысль, правда? Слишком много раздражающих факторов, скажете вы и… будете правы! Но проблема от этого не уменьшится.

                    Давайте попробуем выделить основные:
                    1. Мобильник. Мы настолько с ним сжились, что выходя из дома без него чувствуем себя раздетыми, брошенными и беззащитными. Мобильник ловит в метро, в горах, в Карелии и Селигере. Мы «все время на связи» — круто! Тотал контрол.

                    2. Интернет. Рассадник мелких раздражителей: мессенджеры, почта, твиттер, форумы, блоги :) И вообще, в инете столько всего интересненького! А теперь все это многообразие вообще все время в любимом коммуникаторе с красивым экраном и приятном на ощупь — ну как тут отказаться?
                    Читать дальше →
                  • Начальники и как с ними жить

                      Вы любите своего начальника? Я имею ввиду, платонически? Не боитесь, когда он вас вызывает к себе? А вы его вообще видели?

                      Часто слышится, особенно от молодых специалистов: «Начальник — тиран (зануда, крикун, молчун, плохой одним словом)!». После предыдущей моей статейки, нашедшей, скажем мягко, негативный отклик, в обсуждениях проскакивало про начальников. Предлагаю простую игру: «Чего ты боишься». Надеюсь, это может пригодиться в жизни и на работе.

                      Эта игра вообще очень полезна, но особенно в приложении к начальникам. Итак, разберем простые начальникофобии и попробуем поискать методы борьбы/уживания с такими начальниками… нет, скорее, фобиями.

                      Поехали!
                      Читать дальше →
                    • Как работать, не «работая»

                        Сколько вы готовы тратить в день на работу? А если честно? :) Нет, не «работу», сиречь просиживание штанов, а на продуктивную деятельность?

                        Пусть вы — обремененный семьей, друзьями, прочими интересами уже не молодой (старше 25) городской житель…

                        Представили? Усугублю: житель густонаселенного мегаполиса :) Ежедневно на дорогу тратите 2+ часа жизни. Это те самые часы, которых так не достает для...(сна, работы, жены, любовницы, детей — нужное подчеркнуть).

                        Добравшись, наконец, до офиса, мы начинаем… эээ… рабочий день.
                        Но так ли мы, друзья, эффективны, сидя попой ровно на офисном стуле?

                        Наверняка каждый замечал, что иногда работа спорится, сил много, настроение боевое, а иногда…

                        Аська/ютуб/твиттер/форум/хабр и чтоб никто не клевал в мозг :)

                        Как же работать мало, а успевать много? Как иметь много свободного времени, но быстро реагировать на срочные вещи?

                        Универсальных рецептов для всех нет, но есть хорошие новости…

                        Читать дальше →
                      • Cisco Config Cleaner. Бета-тестирование

                          Друзья!

                          Мы обкатываем на нашем сайте новую идею, а именно проверку конфигурационных файлов cisco IOS на согласованность и непротиворечивость. На данный момент мы реализовали функционал для выявления «мусорных» списков доступа, а также выявление таких опасных «хвостов», как привязка списка доступа без самого списка.

                          Вкратце расскажу, зачем это может быть нужно:
                          Читать дальше →
                        • Не стоит прогибаться под изменчивый мир или создаем свою атмосферу

                            Очередное эссе из разряда «нечеткой логики».

                            Сегодня попробую описать понятие «атмосфера» и как умение управлять атмосферой реально помогает в жизни, на работе и нештатных ситуациях.

                            Вообще, это интуитивное понятие — атмосфера — и поэтому описать его строго сложно. Это скорее ощущение. Атмосферы бывают сильные и слабые, доброжелательные, враждебные, тоскливые и т.д. Это что-то вроде внутреннего настроя и состояния нескольких человек. Чем больше народу в одной атмосфере, тем она сильнее. Яркий пример: похороны. Все находятся в состоянии подавленности и грусти, даже если не очень этого хотят!

                            Есть несколько важных моментов:
                            1. Атмосферу можно создать в-одиночку
                            2. Атмосферу можно «сломать»
                            3. Деструктивные атмосферы имеют свойство самоусиливаться (например, агрессивная толпа)

                            А теперь то, ради чего я стал вообще это писать: человеку комфортно (легче работается, лучше отдыхается), когда он попадает в созвучную ему атмосферу. Но хорошей новостью является то, что атмосферу можно создать самому, в которой будет хорошо :)

                            Разберем несколько примеров.

                            ГАИшник. (Мой любимый пример.)
                            Ситуация первая: вас тормозит на посту работник ГАИ. Ваши эмоции? Если вы торопитесь часто возникает мысль «Какого фига! Я же ничего...», она перерастает в раздражение, которое трудно скрыть и это чувствует ГАИшник. Теперь поставьте себя на его место: было бы вам приятно если бы вас на работе ни за что ни про что поливали эмоциональной грязью (раздражение я считаю именно такой субстанцией)?
                            Читать дальше →
                          • Новые таможенные правила или как жить дальше? Семинар в cisco

                              11 марта 2010 в московском офисе cisco состоялся увлекательный семинар Миши Кадера про новые таможенные правила на территории таможенного союза России, Белоруссии и Казахстана. И про то, что cisco делает для того, чтобы ввоз нового оборудования наконец стал снова радовать и продавцов и покупателей.

                              Статья была опубликована 11.03 здесь, но по просьбе докладчика была направлена на доработку. Миша внес ряд нужнейших ссылок и комментариев, поправив меня в тех моментах, которые были изложены не точно. За что ему огромное спасибо!
                              Сейчас публикуется поправленный вариант.

                              Для начала экскурс в историю:
                              1. Таможенные правила ввоза на территорию РФ впервые были написаны аж в 1995 году и там было и про шифрование и про согласование с ФАПСИ (ныне ФСБ) и МинПромТоргом. Просто их никто не выполнял. Вот ссылка на указ для интересующихся
                              2. В 2006, для вступления в ВТО, был разработан новый, более гибкий документ, выводящий часть криптографии из-под лицензирования ввоза. Документ так и не был согласован
                              3. В конце 2009 году, приняв за основу документ 2006г, ФСБ быстренько согласовала новые правила ввоза на территорию единого таможенного союза. Так что с 01.01.2010 года мы просто получили то, что должно было работать давным-давно. Вот опять же ссылка на эти правила

                              По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):
                              1.«Слабое» шифрование (симметричное шифрование с длиной ключа меньше либо равным 56 битам, асимметричное – 128 битам)
                              2.Шифрование каналов для управления (ssh, https для управления)
                              3.Шифрование беспроводными точками доступа (со встроенными антеннами) трафика, передаваемого на расстояние до 400 м.
                              4.Если шифрование является неотъемлемой частью программного продукта (операционной системы).
                              Читать дальше →
                            • Торренты, скайп и безопасность

                                Дисклаймер: все нижесказанное — мои личные мысли, не ставящие целью дискредитировать упомянутые системы и их производителей.

                                Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).

                                Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.

                                Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.

                                Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.

                                Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.
                                Читать дальше →
                              • Управляем голосом или правильный посыл

                                  Продолжаю маленькими порциями выдавать то, что знаю про скрытые резервы каждого человека.

                                  Часто сталкиваюсь с тем, что люди не умеют управлять голосом. Даже те, кто публично выступает. Выглядит это со стороны довольно уныло: человек со сцены (из-за круглого стола переговоров, в совещательной комнате, в классе) в лучшем случае говорит кому-то одному, близкосидящему, либо вообще в никуда. От этого всем остальным становится неуютно. Они чувствуют себя лишними.

                                  Мало того, говорящий может реально напрягаться, даже почти кричать, а все равно сзади его могут не услышать. От чего это происходит?

                                  Как правило, из-за неумения банально управлять своими связками и глоткой (гусары!) Есть 2 типичные ошибки:

                                  1. Стараясь сказать громко, чтобы все услышали, человек сильно напрягает связки. А что такое связки? Правильно, мышцы, которые буквально сжимают горло! Чтож мы имеем? Сильное напряжение легких, глотки, рта и… сдавленный, визгливый голос. Красиво, правда?

                                  2. Человек старается говорить громко, но все равно посылает звук себе под нос! Как будто надо оглушить какого-то рядомсидящего слушателя. И всем как-то неловко.

                                  Что же с этим можно сделать?
                                  Читать дальше →
                                • ASA. Настройка перехватывающей аутентификации через AD и LDAP

                                    По советам уважаемых хабрачитателей я несколько изменю формат своих публикаций по ASA. Сюда буду писать самое интересное, не утомляя подробным описанием. Полную статью «ASA. Перехватывающая аутентификация» читайте в нашем свежеиспеченном блоге

                                    А здесь я расскажу, как используя ASA, напрямую аутентифицироваться в AD

                                    На МСЭ часто возникает задача проверить пользователя до предоставления ему доступа к определенным ресурсам. На ASA такая проверка называется «перехватывающая аутентификация» (cut-through proxy).

                                    Этот сервис использует инфраструктуру ААА (Authentication, Authorization, Accounting).

                                    Примечание: в английском слове authentication нет слога «фи», который появился в русском «аутентификация» скорее всего из-за созвучия слову «идентификация». Причем, в нашем могучем языке есть и «аутентичность». Без всякого «фи» :) Не попадитесь!

                                    Аутентификация.
                                    Отвечает на вопрос «есть ли такой пользователь». Поиск этого пользователя может производиться как в локальной (LOCAL) базе данных, так и во внешних (TACACS+, RADIUS, AD по протоколу LDAP).
                                    Читать дальше →
                                    • +6
                                    • 13,5k
                                    • 3
                                  • ASA: заморочки трансляции сетевых адресов. Часть 2. Статические трансляции

                                      Статические трансляции

                                      Статические трансляции, в отличие от динамических, жестко связывают адреса (или адреса с портами). Именно эта их особенность позволяет инициировать сессии как изнутри, так и снаружи МСЭ. Но для того, чтобы раз и навсегда не путаться в написании статических трансляций, я научу вас их «читать» правильно. Итак, формат команды довольно прост:

                                      static ({source_int},{dest_int}) {translated_address} {real_addess}

                                      где
                                      source_int – интерфейс на который приходит пакет
                                      dest_int – интерфейс, с которого пакет пойдёт дальше
                                      real_address – реальный адрес хоста
                                      translated_address – странслированный адрес хоста

                                      И читается трансляция так:
                                      Когда пакет бежит с интерфейса source_int на интерфейс dest_int его адрес ИСТОЧНИКА подменяется с real_address на translated_address.
                                      Когда же пакет бежит в обратном направлении, т.е. приходит на интерфейс dest_int и идет далее через интерфейс source_int его адрес НАЗНАЧЕНИЯ меняется с translated_address на real_address

                                      Читать дальше →
                                    • Учитесь отдавать!

                                        Такой провокационный заголовок придумался для следующей заметки на пути к легкому общению

                                        Продолжу, пока есть энтузиазм, рассказывать уважаемым хабровчанам про некоторые тонкости.

                                        Как правильно сформулировать вопрос и как правильно его произнести мы немного обсудили. А как сделать так, чтобы собеседнику захотелось на него ответить? Захотелось помочь? Почему одним людям открываются закрытые двери и проблемы решаются как бы сами собой, а для других узнать сколько времени бывает проблемой?

                                        Давайте виртуально понаблюдаем со стороны за такими успешными и попробуем выделить некоторые черты легкого общения.
                                        Читать дальше →
                                      • ASA: заморочки трансляции сетевых адресов. Часть 1. Динамические трансляции

                                          Трансляция сетевых адресов (Network Address Translation, NAT) — это подмена какого-либо адреса или порта в пакете. Она, как правило, требуется на границе между сетью компании и провайдером Интернет. Однако, это далеко не единственная задача. Рассмотрим несколько типичных задач и способы решения при помощи межсетевого экрана ASA.

                                          Для начала определимся с терминами. Как вы уже знаете, на ASA при помощи сравнения уровней безопасности интерфейса-источника и интерфейса-назначения легко определяется направление «наружу» и «внутрь» межсетевого экрана (ситуацию с одинаковыми уровнями безопасности рассмотрим отдельно).
                                          Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» межсетевого экрана, а внешняя трансляция подменяет адрес источника при проходе «внутрь» МЭ.
                                          Читать дальше →
                                        • Управляй эмоциями!

                                            Как обещал, попробую в качестве продолжения темы про подачу себя, затронуть довольно спорную область — область эмоций и попробую рассказать, как управление эмоциями может помочь в трудную минуту.

                                            Сразу предупрежу: я сам со своими эмоциями справляюсь с трудом, не сразу, иногда требуются вспомогательные приёмы. Но с другой стороны, что же это за эмоции, если их так легко победить? Нет, эмоции — это суть нашей жизни, и чем они сильнее, тем ярче жизнь. Но все же, иногда ой как хочется часть из них пригасить. Как?
                                            Читать дальше →