Знай свою сеть

Хотел рассказать Вам о туннельных интерфейсах и их преимуществах, да увидел полезную статью на русском языке посвященную данной тематике:

http://www.seteved.ru/content/view/298/30/

Поэтому остановлюсь только на преимуществах, о которых недостаточно описано.

1) Использование туннельных интерфейсов при организации удаленного доступа позволяет объединить механизмы удаленного доступа и Zone Based Firewall.

2) Можно организовать политику качества обслуживания per-tunnel, а значит per-user!

3) Достаточно просто и унифицированно организовать на одном интерфейсе маршрутизатора функции DMVPN и удаленный доступ

Если я что-то не вспомнил – буду рад если напомните

Добрый день коллеги,

5 мая на всех корневых серверах DNS планируется включить механизм DNSSEC, в соответствии с которым серверы смогут посылать DNS ответы с подписью. Данный механизм был разработан для борьбы со следующими атаками:
1)DNS cache poisoning;
2) Man-in-the-middle.

http://www.neowin.net/news/dnssec-being-rolled-out-may-5th—internet-will-live-on

Основная проблема – увеличение размера ответа DNS серверов. Таким образом, если у Вас между клиентом и сервером стоит межсетевой экран отклоняющий DNS ответы размером больше 512 байт, то клиент не сможет получить этот ответ.
Однако, для старых DNS клиентов это не актуально. Увеличение размера за счет подписи будет происходить только когда клиент поставит специальный флаг в DNS запросе.
Таким образом, если у Вас DNS сервер не понимает DNSSEC то и запросы к вышестоящим серверам будут без этого флага и все будет хорошо – конец интернета отменяется
А вот если у Вас сервер поддерживает работу с DNSSEC и сконфигурирован на запрос подписи, то могут возникнуть проблемы…

Удобная утилита для анализа:

http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues

P.S. В ПО Cisco ASA 8.2(2) и старше есть поддержка DNSSEC и даже если в настройках установлен лимит (512 байт по умолчанию) проблемы не возникнет.

Сегодня я хотел бы Вам рассказать о одной из сравнительно новых технологий по криптографической защите данных: Group Encrypted Transport VPN или иначе говоря GET VPN.
Широкое развитие мультимедийных технологий и возможность предоставления операторами связи сегментов в сети MPLS становится основным двигателем для внедрения данной технологии.
Ключевое отличие данной GET VPN от всего что было до этого заключается в том, что маршрутизатор зашифровывает пакет и ему не важно какой из маршрутизаторов его получит. Для того, чтобы согласовывать ключевую информацию маршрутизаторам нет необходимости общаться между собой. Для этого существует сервер ключей, который раздает и информацию какой трафик и как шифровать.
Пакеты зашифровываются общим ключом, действующим в данный момент, и направляются в соответствии с правилами маршрутизации. И все это благодаря тому, что заголовок IP остается неизменным.
Особенно интересна данная особенность для multicast трафика – реплицируются зашифрованные пакеты в соответствии с правилами маршрутизации mulicast трафика, словно этот пакет и не был зашифрован.
далее »

Добрый день,
в первую очередь я пишу в блоге те вещи, про которые у меня спрашивают заказчики и вот одна из задач поставленных перед мной – нужно ограничить возможность записи на FTP сервер определенного типа файлы.
Таким образом, есть желание что-то узнать – спрашивайте…
Можно конечно это возложить и на FTP сервер – но задача исходила из службы безопасности в зоне контроля которого и находился межсетевой экран, в отличии от сервера. Кроме того эта задача может возникнуть и в случае, когда вы захотите скрыть версию FTP сервера в заголовке, который отображается еще до того, как клиент введет данные своей учетной записи.
далее »

На днях обнаружил для себя интересное обновление в настройках NAT – тепреь не нужно указывать какой интерфейс внешний, а какой внутренний.

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtnatvi.html

Что это даст? Пока еще не изучил досконально, но скорее всего это внесет дополнительную гибкость в данный механизм.

Интересная возможность обеспечения трансляции адресов, при которой адреса в 4-м октете будут сохраняться…
Называется эта возможность – трансляция сетей.

Обратите внимание на синтаксис:

ip nat inside source static network 192.168.1.0 10.5.5.0 /24

Пример использования данного функционала:
IPsec Between Two IOS Routers with Overlapping Private Networks Configuration Example

SANS (SysAdmin, Audit, Network, Security) – опубликовал подробную статью для тех, кому нужны рекомендации по защите периметра сети.

Perimeter Defense-in-Depth with Cisco ASA

Одно НО – этот документ на английском языке.

13 сентября, 256-й день в году официально объявлен “Днем Программиста”.
Это по праву праздник всех кто связан со сферой информационных технологий, а не только тех кто пишет программы.

P.S.: В настоящее время усиленно готовлюсь к лабораторному экзамену CCIE Security, поэтому число сообщений существенно сократилось, но я хотел бы сказать что это совсем не значит что проект закрыт. Сейчас я буду выкладывать интересные моменты, которые найду для себя при подготовке и буду рад поделиться с Вами. Сдам экзамен – смогу больше времени уделить данному проекту, тем более что для меня делиться тем что знаешь – удовольствие.

С большим уважением к проделанной работе автора сайта http://www.blindhog.net/ рекомендую всем кто в ладах с английским языком данный сайт.
Он сделал много из того, что хотел сделать я и если у кого-то будут вопросы по предлагаемым им решениям – обращайтесь.

Хотел бы обратить Ваше внимание на одну из интереснейших возможностей Cisco ASA 5500 – SSL VPN Portal.
Использование данного функционала позволяет Вам обеспечить доступ к ресурсам корпоративной сети в том числе и из интернет кафе. Вам не потребуется устанавливать VPN клиент на компьютер, поэтому данный функционал еще называется как Clientless SSL VPN или WEB VPN.
далее »