Network Admin

Ограничения традиционных методов сегментации Если использовать популярные подходы для исправления второй и третьей задачи из прошлого поста, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть.

Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. 

Например, могут отличаться: ⏺Некоторые правила, которые тесно связаны с обновлениями служб защиты, а также которые управляют ресурсами и сотрудниками компаний; ⏺Количество групп юзеров, которое может меняться от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее; ⏺Расположение групп пользователей, в связи с чем может возникнуть необходимость расширить сегментацию на новые части сети; Поддержание сегментации сети становиться все более сложной в зависимости от динамики роста количества сотрудников и различных устройств - то есть сегментация это не единовременная операция, а постоянный и очень важный процесс. На данный момент также популярным подходом становится программно-определяемая сегментация сети, к примеру у Cisco это протокол TrustSec. 🔥 Этот подход позволяет полностью уйти от IP-адресации и не мучаться с перекраиванием листов контроля доступа в случае смены VLAN-а или изменения топологии сети. Ставь 👍, если понравилась серия постов о сегментации сети. N.A. ℹ️ Help

Популярные методы выполнения сегментации сети Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи: ⏺Определить, действительно ли пользователь принадлежит той или иной группе в сети; ⏺Ограничить доступ к интернет-трафику юзеров из одной группы, от группы других; ⏺Предоставить юзерам разрешение на использование только разрешенных ресурсов, а также требуется наложить запрет на остальную информацию. Решением первой задачи является использование технологии 802.1x в корпоративных сетях. То есть использование дополнительного фактора (например, учетки в AD и сертификата) для получения доступа в сеть. Вторая проблема решается с помощью создания дополнительных виртуальных сетей, путем создания разных для сотрудников разных департаментов и т.д - отдельный серверный сегмент, отдельная DMZ и пр. Для решения третьей задачи обычно используется фильтрация на основе IP-адресов.

Контроль доступа обычно может быть реализован двумя способами: грубыми средствами и тонкой фильтрацией. 

🔥Это реализуется с помощью листов контроля доступа - обычных, расширенных и динамических. N.A. ℹ️ Help

RPKI: что это и почему важно? RPKI (Resource Public Key Infrastructure) — это уровень безопасности для протокола BGP, обеспечивающий криптографическое подтверждение владельца сетевых ресурсов.

BGP не предусматривает понятия владельца, что позволяет любому объявить лучший маршрут, иногда случайно или злоумышленно.

RPKI базируется на стандарте PKI (Public Key Infrastructure) согласно RFC 6480, применяя криптографию для безопасной маршрутизации. Почему RPKI важен? RPKI делает BGP более безопасным и надежным. Безопасность BGP — системная проблема, особенно актуальная с ростом Интернета. Нарушение маршрутизации может привести к: ⏺Кражам данных (Amazon: кража криптовалюты через угон DNS). ⏺Утечкам данных (Mastercard, Visa: утечка префиксов). Какую защиту предлагает RPKI? Проблемы BGP возникают чаще всего из-за человеческих ошибок. RPKI использует криптографическую модель для аутентификации владельцев IP-адресов через открытые ключи и сертификаты, добавляя уровень безопасности к IPv4 и IPv6.

Эти сертификаты продлеваются ежегодно, аналогично HTTPS для веб-страниц. 

Как работает RPKI? RIR (Regional Internet Registry) обеспечивает корневое доверие. IANA (Internet Assigned Numbers Authority), часть ICANN, распределяет IP-адреса региональным RIR, которые затем распределяют их локальным сетям. Это создает доверенную цепочку сертификатов. ROA ROA (Route Origin Authorization) — это документ, подтверждающий право AS (Autonomous System) объявлять определенные префиксы. Например, если AS65005 объявляет маршрут 1.0.0.0/8, ROA подтверждает его право. Как развертывается RPKI?

Сертификаты и ROA доступны в публичных хранилищах. 

Каждая сеть проверяет подписи сертификатов и срок действия ROA. Если проверка не удалась, ROA игнорируется. Результаты проверки: ⏺Действительное: ROA присутствует, префикс и номер AS совпадают. ⏺Недопустимое: ROA присутствует, но данные не совпадают. ⏺Не найдено или неизвестно: ROA отсутствует. N.A. ℹ️ Help

Протокол GRE: Создание туннелей для виртуальных сетей Generic Routing Encapsulation (GRE) — это протокол туннелирования, который позволяет инкапсулировать различные типы сетевых пакетов в IP-туннели.

Основной принцип работы GRE заключается в добавлении новой заголовочной информации к исходному пакету, что позволяет передавать его через промежуточные сети. 

В результате оригинальный пакет "заворачивается" в GRE-заголовок и IP-заголовок, что позволяет ему путешествовать по маршрутам, как обычный IP-пакет. Примеры использования GRE для создания туннелей между удаленными сетями ⏺Соединение филиалов: GRE используется для создания туннелей между головным офисом и филиалами компании. ⏺Виртуальные частные сети (VPN): GRE-туннели часто применяются для создания VPN, где требуется передавать нестандартные или многоадресные трафики. ⏺Транзит между различными сетевыми протоколами: GRE позволяет инкапсулировать различные типы трафика, включая IPv6 в IPv4, что делает его полезным для интеграции сетей с разными протоколами. Настройка GRE туннелей на маршрутизаторах Чтобы настроить GRE туннель на маршрутизаторе, необходимо выполнить следующие шаги. 1️⃣ Создание интерфейса туннеля:

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2

В этом примере интерфейс туннеля (Tunnel0) получает IP-адрес 192.168.1.1. Параметры tunnel source и tunnel destination указывают IP-адреса исходного и конечного маршрутизаторов соответственно. 2️⃣ Настройка маршрутизации: Добавьте маршрут для направления трафика через туннель:

ip route 172.16.0.0 255.255.255.0 192.168.1.2

Здесь 172.16.0.0 — это сеть, к которой нужно получить доступ через туннель, а 192.168.1.2 — IP-адрес на удаленной стороне туннеля. 3️⃣ Проверка туннеля: Убедитесь, что туннель работает корректно, используя команды для проверки состояния туннеля:

show ip interface brief
show interface Tunnel0

N.A. ℹ️ Help

Протокол GRE: Создание туннелей для виртуальных сетей Generic Routing Encapsulation (GRE) — это протокол туннелирования, который позволяет инкапсулировать различные типы сетевых пакетов в IP-туннели.

Основной принцип работы GRE заключается в добавлении новой заголовочной информации к исходному пакету, что позволяет передавать его через промежуточные сети. 

В результате оригинальный пакет "заворачивается" в GRE-заголовок и IP-заголовок, что позволяет ему путешествовать по маршрутам, как обычный IP-пакет. Примеры использования GRE для создания туннелей между удаленными сетями ⏺Соединение филиалов: GRE используется для создания туннелей между головным офисом и филиалами компании. ⏺Виртуальные частные сети (VPN): GRE-туннели часто применяются для создания VPN, где требуется передавать нестандартные или многоадресные трафики. ⏺Транзит между различными сетевыми протоколами: GRE позволяет инкапсулировать различные типы трафика, включая IPv6 в IPv4, что делает его полезным для интеграции сетей с разными протоколами. Настройка GRE туннелей на маршрутизаторах Чтобы настроить GRE туннель на маршрутизаторе, необходимо выполнить следующие шаги. 1️⃣ Создание интерфейса туннеля:

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2

В этом примере интерфейс туннеля (Tunnel0) получает IP-адрес 192.168.1.1. Параметры tunnel source и tunnel destination указывают IP-адреса исходного и конечного маршрутизаторов соответственно. 2️⃣ Настройка маршрутизации: Добавьте маршрут для направления трафика через туннель:

ip route 172.16.0.0 255.255.255.0 192.168.1.2

Здесь 172.16.0.0 — это сеть, к которой нужно получить доступ через туннель, а 192.168.1.2 — IP-адрес на удаленной стороне туннеля. 3️⃣ Проверка туннеля: Убедитесь, что туннель работает корректно, используя команды для проверки состояния туннеля:

show ip interface brief
show interface Tunnel0

N.A. ℹ️ Help

Уникальный локальный адрес Уникальные локальные адреса (диапазон fc00::/7 до fdff::/7) пока не реализованы.

Таким образом, этот модуль охватывает только конфигурацию GUA и LLA. 

Однако уникальные локальные адреса могут использоваться для адресов устройств, которые не должны быть доступны извне, таких как внутренние серверы и принтеры. Уникальные локальные IPv6-адреса имеют некоторые общие особенности с частными адресами RFC 1918 для IPv4, но при этом между ними имеются и значительные различия. ⏺Уникальные локальные адреса используются для локальной адресации в пределах узла или между ограниченным количеством узлов. ⏺Уникальные локальные адреса могут использоваться для устройств, которым никогда не понадобится использование других сетей или получение из них данных. ⏺Уникальные локальные адреса не маршрутизируются глобально и не преобразуются в глобальный адрес IPv6. Многие сайты используют частные адреса RFC 1918, чтобы обеспечить безопасность или защитить сеть от потенциальных угроз. ⚡️Однако обеспечение безопасности никогда не было целью технологий NAT/PAT, поэтому организация IETF всегда рекомендовала принимать соответствующие меры предосторожности при использовании маршрутизаторов в Интернете. N.A. ℹ️ Help

Сейчас я с удивлением отмечаю, что половина моих клиентов работают в ИТ. Это каждый второй! Теперь я точно знаю, какую недвижимость предлагать ИТ-специалистам и какие варианты будут для них наиболее привлекательными. Одни из лучших предложений на этой неделе: Топ 5 квартир БЕЗ ПЕРВОНАЧАЛЬНОГО ВЗНОСА🔥 Мне доставляет огромное удовольствие находить такие замечательные объекты и договариваться о таких условиях для вас! Свяжитесь со мной @Rail_Renevada ! Если вам нужна консультация по этим объектам и условиям, пожалуйста, укажите ваши ФИО и номер телефона в личных сообщениях!

RIPv1 и RIPv2: в чем разница? 1️⃣Routing Information Protocol Version 1 (RIPv1) Прямо и по пунктам: RIPv1 это Distance-Vector протокол. Если переводить на русский - дистанционно-векторный. Distance vector routing - так называемая дистанционно-векторная маршрутизация, главный принцип которой основан на вычислении специальных метрик, которые определяют расстояние (количество узлов) до сети назначения

RIPv1 это classfull протокол. Это означает, что он не отправляет маску подсети в апдейтах маршрутизации

RIPv1 не поддерживает VLSM (Variable Length Subnet Masking) VLSM (Variable Length Subnet Masking) - метод эффективного использования IP – адресации, который избавляет от привязки к классу сети (класс A, класс B, класс C). VLSM позволяет дробить подсеть на подсеть и так далее. Тем самым, мы можем эффективно использовать адресное пространство согласно реальных потребностей, а не класса сети RIPv1 поддерживает максимум 15 хопов! Это означает, что любой маршрутизатор, который расположен от вас в больше, чем 15 узлов (маршрутизаторов) будет отмечен как недоступный Раз в 30 секунд RIPv1 отправляет широковещательные апдейты маршрутизации – каждый узел должен принять и обработать этот апдейт 2️⃣Routing Information Protocol Version 2 (RIPv2) RIPv2 это гибридный протокол. Он реализован на базе Distance-Vector, но так же поддерживает часть алгоритмов Link State маршрутизации, то есть, может отслеживать состояние каналов Link State routing - отслеживает состояние каналов и отправляет LSA (Link-state advertisement) пакеты, в которых рассказывает о состоянии своих каналов. Примером link state протокола маршрутизации является OSPF RIPv2 - classless протокол. В отличие от своего старшего брата первой версии, второая версия умеет отправлять маску подсети в апдейтах маршрутизации RIPv2 поддерживает VLSM!

RIPv2, как и RIPv1 поддерживает максимум 15 хопов

RIPv2 отправляет мультикаст сообщения об апдейтах на адрес 224.0.0.9. Это уменьшает нагрузку на сеть и в первую очередь на узлы, на которых не запущен RIP N.A. ℹ️ Help

Типы IPv6-адресов одноадресной рассылки

Индивидуальный адрес служит для однозначного определения интерфейса устройства под управлением протокола IPv6. 

Пакет, который отправляется на такой адрес, будет получен интерфейсом, назначенным для этого адреса. Как и в случае с протоколом IPv4, IPv6-адрес должен быть индивидуальным. IPv6-адрес назначения может быть как индивидуальным, так и групповым. Адреса IPv6 для одноадресной рассылки • Глобальный индивидуальный адрес • Локальный адрес канала • Обратная петля • Неопределенный адрес • Уникальный локальный адрес • Встроенный iPv4- адрес В отличие от устройств IPv4, имеющих только один адрес, адреса IPv6 обычно имеют два одноадресных адреса: ⏺Глобальный индивидуальный адрес аналогичен публичному IPv4-адресу. Эти адреса, к которым можно проложить маршрут по Интернету, являются уникальными по всему миру. Глобальные индивидуальные адреса могут быть настроены статически или присвоены динамически. ⏺Локальный адрес канала (LLA) — это необходимо для каждого устройства с поддержкой IPv6. Локальные адреса канала используются для обмена данными с другими устройствами по одному локальному каналу. В протоколе IPv6 термин «канал» означает подсеть. Локальные адреса каналов ограничены одним каналом. Они должны быть уникальны только в рамках этого канала, поскольку вне канала к ним нельзя проложить маршрут. 🔥Другими словами, маршрутизаторы не смогут пересылать пакеты, имея локальный адрес канала источника или назначения. N.A. ℹ️ Help

Друзья! Прокачайте скиллы в проектировании архитектуры сетей, навыках настройки сетевого оборудования и способах противодействия распространенным угрозам. Курс “Компьютерные сети” стартует 3 июня. ЧТО ВНУТРИ КУРСА? - Изучение топологии сетей, видов сетевого оборудования - Маршрутизация данных и управление доступом к среде - Протокол IP, транспортный и прикладной уровни - Система имен DNS, безопасность в сетях и противодействие атакам КОМУ ПОЛЕЗЕН КУРС? - Junior IT-специалистам, системным администраторам, Web-разработчикам, сетевым инженерам, которые хотят досконально освоить архитектуру сетей ВЫ ПОЛУЧИТЕ: - Сертификат/удостоверение о повышении квалификации - Сопровождение и поддержку Академии Кодебай - Возможности трудоустройства/стажировки Пишите нам @Codeby_Academy или звоните +74994441750 Подробнее о курсе → здесь