Магазин / аукцион / FPR / donate / услуги / RSS / распечатать / вход 
Мой мир
Вконтакте
Одноклассники
Google+

Raspberry Pi в качестве NetFlow коллектора, размышления.

После поверхностного анализа того, что пишется в базу NetFlow оказалось, что действительно можно сократить несколько полей, которые не являются информативными или дублируются.

О том как экспортировать данные из NetFlow в MySQL я уже писал вчера. Сегодня я хочу написать о том какие поля за, что отвечают и почему их можно игнорировать. И так, поехали. Напомню имеющуюся структуру.

Дата публикации: 2018-05-30 | Читать полную версию...




Raspberry Pi в качестве NetFlow коллектора. Экспорт NetFlow в MySQL.

Еще один пост про моё занудство с NetFlow. Появилась задача собирать информацию о трафике с удалённой точки. Доступ на удалённой точке осуществляется через спутник, по этому траффик там по цене золота. А так же там много молодых и горячих ребят, которым очень скучно на вахте и они хотят иметь доступ в социальные сети, смотреть фильмы и всеми возможными способами получают доступ в интернет. Как минимум главная роль в данном случае за человеческим фактором. Начиная от несанкционированного подключения кабелем ноутбука в прорабке и заканчивая выклянчиванием пароля от WiFi у руководства.

Так как подключение к сети осуществляется через роутер Cisco, у нас имеется хороший механизм подсчёта трафика, называется он NetFlow. Для минимальной статистики можно сделать подсчёт с помощью top-talkers. В данном случае необходимо хранить данные за продолжительный срок жизни оборудования, так как во время разборок люди могли затребовать время когда закончился траффик на данной точке. Как минимум нужно хранить информацию за три месяца. Для продолжительного хранения и анализа данных желательно использовать компьютер с установленным коллектором. Например, можно использовать зарекомендовавший себя NetFlow Analyzer.

Дата публикации: 2018-05-29 | Читать полную версию...




Raspberry Pi 3 настройка WiFi.

Оказалось, что настроить WiFi модуль встроенный в Raspberry Pi, очень просто. Это занимает пару минут и одну перезагрузку железки. Может быть у вас получится и без перезагрузки обойтись, но у меня настройки подхватились только после того как плата была перезагружена.

Для настройки WiFi на этом одноплатнике надо отредактировать один файл:

Дата публикации: 2018-05-23 | Читать полную версию...




Raspberry Pi увеличить размер файловой системы.

После установки Raspbian на Raspberry Pi, на флешки более четырёх гигабайт, возникает ситуация, что на карточке остаётся много неиспользуемого места за пределами образа файловой системы.

Для того, чтобы растянуть образ файловой системы на весь диск необходимо войти в режим конфигурации:

Дата публикации: 2018-05-15 | Читать полную версию...




Уязвимость в Cisco Smart Install Client.

Отгремел большой скандал с глобальной хаккерской атакой на оборудование Cisco. Теперь можно посмотреть на результаты и проанализировать ситуацию. Что вообще произошло? Хакеры воспользовались функцией автоматической настройки оборудования, которое используется согласно концепции Zero Touch Deployment. Эта концепция позволяет провести автоматическое конфигурирование оборудования перед использованием. Соответственно данная концепция гласит о том, что у оборудования до его начального конфигурирования данная функция включена. Я ради интереса поискал в русскоязычном интернете информацию о работе с этой функцией, в Cisco она называется Smart Install, и её нет. Нет даже вопросов о том как она настраивается. Из этого можно сделать вывод о том, что в нашем сегменте данная функция не востребована или про неё попросту никто ничего не знает. А раз про неё никто не знает, то её никто не отключает.

Кто попадает в зону риска? В зону риска попадает оборудование у которого включена клиентская часть Smart Install. Собственно существует две части Smart Install: сервер и клиент. Серверная часть рассылает настройки по сети, а клиентская их безоговорочно применяет. Обычно в рассылке указываются ссылки на TFTP-сервер с указанием образа прошивки и файла настроек. Это крайне удобно, достаточно подключить оборудование к сети и оно подхватит свои настройки. И вот в этом-то и оказалась уязвимость данного оборудованиия. Точнее не уязвимость, а злонамеренное использование протокола. Клиентская часть стоит в основном на управляемых свитчах. Из этого следует, что под атаку попали управляемые свитчи производства Cisco с белыми IP-адресами. В каком случае может произойти подобная ситуация? Тут два варианта: операторское оборудование и датацентры.

Дата публикации: 2018-05-10 | Читать полную версию...




Cisco защита от переполнения DHCP и CAM-таблицы.

Раз уж зашла речь о защите сети основанной на коммутаторах Cisco, то я бы хотел вспомнить еще один интересный случай, который показал необходимость защиты сети не только от внешних угроз, но и от внутренних.

В одной организации происходила интересная ситуация, приблизительно в четыре или пять часов вечера полностью ложилась сеть предприятия. Это происходило только по будним дням, по этому директор заподозрил в диверсии одного из работников организации. Штатного сисадмина в конторе небыло, а наёмные отказывались работать с Cisco, так как они даже не знали пароль от установленных коммутаторов. Но мы же знаем как сбросить пароль на Cisco сохранив при этом настройки оборудования. Собственно настройки комутатора были по умолчанию и они не предназначены для работы в условиях переполнения CAM-таблицы. О том, что используется атака на переполнение CAM-таблицы можно было судить по тому, что переполнялась таблица DHCP-адресов на сервере. Учитывая переполнение пула DHCP можно догадаться, что в сети генерируется тьма MAC-адресов. Для защиты от генерирования массы MAC-адресов можно защититься ограничив количество одновременно подключающихся MAC-ов. Если архитектура сети равномерная и к каждому оконечному порту подключено по одному компьютеру, а не стопка маленьких неуправляемых коммутаторов. Данный функционал реализуется технологией port-security. Настройка производится на каждом порту отдельно. Конечно, никто не запрещает выбрать сразу группу портов.

Дата публикации: 2018-04-28 | Читать полную версию...




Cisco защита от клиентского DHCP.

Продолжу заметки на полях. И затрону такую щепетильную проблему как подключение несанкционированных устройств к сети предприятия. Недавно у друга была проблема с тем, что у одного из арендаторов постоянно падала сеть. Точнее часть компьютеров работала в интернете правильно, а часть не могла получить доступ даже к локальным ресурсам сети. Вся сеть была настроена на оборудовании Cisco, проблем в других VLAN этого же коммутатора не наблюдалось. Проведя более детальное обследование было выяснено, что виной всему подключенные роутеры с WiFi. Дело в том, что роутеры были подключены LAN-портом и выдавали свой DHCP в сеть. Получалось так, что в сети образовалось несколько DHCP-серверов и они мешали друг другу работать. Конечно, же это проблема арендатора, что он сам себе устраивает такие проблемы, но у компании Cisco есть решение подобной проблемы. За одно данное решение поможет избежать проблем не только в сети арендаторов, но и обезопасит локальную сеть от подобных нештатных ситуаций. Существуют атаки основанные на создании фиктивного DHCP-сервера, но чаще всего виной всему человеческий фактор.

Для решения данной задачи будет применён Rogue DHCP Server. Суть данной технологии в том, что на коммутаторе порты делятся на два типа. Первый — это доверенные порты, на которых может быть DHCP-сервер. Второй — это защищаемые порты, на которых не может быть легитимных DHCP-серверов. Порты на которых будут работать DHCP необходимо указать, все остальные автоматически считаются не доверенными. Настройка довольно простая. Состоит всего из трёх частей:

Дата публикации: 2018-04-27 | Читать полную версию...




Cisco Catalist вход в bootloader и сброс пароля.

И так, очередные записки на полях о том как войти в бутлоадер коммутатора Cisco и сбросить ему пароль. У Cisco очень странный подход к управлению оборудованием. Так, например, на роутеры и коммутаторы можно войти в Bootloader и просмотреть конфигурацию. А в этой конфигурации «светится» почти зашифрованный пароль. Почему почти? Да потому, что имея в распоряжении любой рабочий роутер можно расшифровать этот пароль. Многие люди по наивности отправляют конфигурационные файлы для того, чтобы их проверили и проконсультировали, при этом не удаляют строчки с паролями, считая, что они имеют стойкое шифрование. И так, перейдём к интересному, коммутаторам Catalist от Cisco.

Cisco Catalist.
Cisco Catalist.

Дата публикации: 2018-03-20 | Читать полную версию...




Parker Solar Probe цель и задача.

NASA анонсировала очень интерессную миссию по «прощупыванию Солнца».

Parker Solar Probe.

Дата публикации: 2018-03-12 | Читать полную версию...




OpenWRT настроить GRE-туннель.

Я несколько раз поднимал тему быстрых не зашифрованных туннелей между оборудованием Cisco, а также между Cisco и Linux. О преимуществах и недостатках данного вида связи я писать не буду, так как о причинах его создания я писал в теме с примерами туннелей на Cisco. На текущий момент встал вопрос о создании простого не зашифрованного туннеля между роутером Cisco и роутером D-Link DIR-620.

Так как в стандартной комплектиции D-Link не поддерживает работу с GRE-туннелем, пришлось смотреть на альтернативные прошивки для него. Как выяснилось у OpenWRT есть прошивочка для этого устройства. Процесс перепрошивки я затрагивать не буду, так как это выходит за рамки данной статьи. Я опишу как можно настроить GRE-туннель без шифрования на операционной системе OpenWRT.

Дата публикации: 2018-02-28 | Читать полную версию...




Кольцо дельфинов (Ring of Dolphins)
Предыдущий (Previous) Кольцо дельфинов - о проекте (About Project) Следующий (Next)

В просторы Океана,
В манящий синий плен
Влечет нас неустанно
Волшебный зов сирен.
Поль Вернейль «Одиссеи»


Сообщайте нам о замеченных ошибках на: web@orcinus.ru. Все пожелания и советы будут учтены при дальнейшем проектировании сайта... Мы готовы сотрудничать со всеми желающими. Мнение авторов может не совпадать с точкой зрения редакции сайта www.orcinus.ru. В некоторых случаях, мнение автора может не совпадать с мнением автора! Phone: +7-902-924-70-49.

Рейтинг@Mail.ru LiveInternet Rambler's Top100 Яндекс.Метрика