Tele
Монтаж и сварка
2018.07.20 - добавлено; 2017.07.20 - проверена работа ссылок
Сварка оптических волокон. Часть 4: измерения на оптике, снятие и анализ рефлектограммы.
Cable map
2017.06.16 - добавлено; 2017.06.16 - проверена работа ссылок
В 2021 году получила обновление интерактивная кара cable map global
submarine-cable-map-2016.telegeography.com и submarine-cable-map-2017.telegeography.com. Intra-Africa Optical Fibre Network в .pdf. Сайт с интерактивной картой, разделом Undersea Cable Ownership - 
История укладки кабелей на анимированной .gif 
Наиболее популярные средства связи
2017.09.07 - добавлено; 2017.09.07 - проверена работа ссылок
Большое количество приложений можно найти на wikipedia в статье - система мгновенного обмена сообщениями или в английском варианте. Также есть сравнения по количеству пользователей, с указанием производителя.
Ring is a free and universal communication platform which preserves the users' privacy and freedoms. It is published under the GNU General Public License 3. Ring is developed by Savoir-faire Linux with the help of a global community of users and contributors. Savoir-faire Linux is a Canadian company specialized in Linux and free software.
Telegramm - бесплатный кроссплатформенный мессенджер для смартфонов и других устройств, позволяющий обмениваться текстовыми сообщениями и медиафайлами различных форматов. Используются проприетарная серверная часть c закрытым кодом, работающая на мощностях нескольких компаний США и Германии, и несколько клиентов с открытым исходным кодом, в том числе под лицензией GNU GPL. В default папке C:\Users\o\AppData\Roaming\Telegram Desktop лежат фалы лога log.txt и log_start0.txt.
WhatsApp — популярная бесплатная система мгновенного обмена текстовыми сообщениями для мобильных и иных платформ с поддержкой голосовой и видеосвязи. Позволяет пересылать текстовые сообщения, изображения, видео и аудио через Интернет.
Viber — приложение, которое позволяет совершать бесплатные звонки через сеть Wi-Fi или мобильные сети (оплата только интернет-трафика) между пользователями с установленным Viber, а также передавать текстовые сообщения, изображения, видео- и аудиосообщения, документы и файлы.
Tox — протокол для текстовой, голосовой и видеосвязи в интернете. Эталонная реализация протокола представляет собой свободное программное обеспечение с открытым исходным кодом, обеспечивающее полный набор привычных функций: голосовая и видеосвязь, режим конференции с несколькими участниками, указание и смена сетевого статуса, поддержка эмотиконов, демонстрация экрана, возможность отправлять мгновенные сообщения и передавать файлы. Отсутствует реклама.
Самостоятельная настройка базовых станций
2017.06.27 - добавлено; 2017.06.27 - проверена работа ссылок
Запускаем GSM-сеть у себя дома - как запустить собственную 2G GSM сеть в пределах комнаты (с поддержкой СМС и голосовых вызовов, без GPRS) при помощи Osmocom и скромных вложениях в оборудование.
Реестр
Минпромторг опубликовал Единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) от 19.02.2021
Juniper
2018.02.17 - добавлено; 2018.02.17 - проверена работа ссылок
Настройка переключения маршрутов между двумя провайдерами на JunOS 11.1 или выше - процесс настройки функций для переключения маршрутов между двумя провайдерами в случае, если физический линк присутствует и даже есть наличие локальной сети провайдера, но нет самого интернета. Автоматическое переключение маршрута в Juniper SRX - способом, который будет работать и при падении интерфейса только в сторону. Мониторим каналы связи посредством Juniper RPM и Zabbix - расширение темы использования RPM (Realtime Perfomance Monitoring - аналога механизма SLA в мире Cisco, и как и у Cisco предназначена больше не для переключения каналов, а для измерения характеристик каналов в реальном времени). на передачу результатов измерений в систему мониторинга Zabbix. Зеркалирование трафика на Juniper MX.
Cisco
2018.05.19 - добавлено; 2018.05.19 - проверена работа ссылок
Understanding the different types of Ethernet Switches - полезная статья про отличия Catalyst 2K, 3K and the 300/500 series Cisco switches. Полезные руководства Troubleshooting Input Queue Drops and Output Queue Drops и Cisco IOS IP Configuration Guide, Release 12.2 .
PPPoE
Для debug-а PPPoE можно использовать debug ppp authe, debug ppp autho, debug ppp neg. На подключаемой cisco можно набрать:
show pppoe summary
show pppoe session
show interface dialer 1
ping 8.8.8.8
Ещё для debug-а PPP PAP: Configuring and Troubleshooting PPP Password Authentication Protocol (PAP).
Шпаргалки для настройки времени и часовых поясов
SW(config)#clock timezone MSK +3
SW(config)#clock timezone STZ +4
SW(config)#clock timezone YEKT +5
SW(config)#clock timezone OMST +6
SW(config)#clock timezone KRAT +7
Сперва timezone, а потом clock set!
SW#clock set 13:38:44 07 May 2018
Образец статики маршрутизатора
Правим /24-ую маску 255.255.255.0, IP 10.10.10.1 и шлюз 10.10.10.254.
interface GigabitEthernet0/2 description ===NEW_INTERNET=== ip address 10.10.10.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto ip route 0.0.0.0 0.0.0.0 10.10.10.254
Образец статики коммутатора
Правим /24-ую маску 255.255.255.0, IP 10.10.10.2 и шлюз 10.10.10.1.
ip route 0.0.0.0 0.0.0.0 10.10.10.2 interface GigabitEthernet0/0 no ip address dhcp ip address 10.10.10.1 255.255.255.0
Настройка интерфейсов на коммутаторах
Настройка интерфейсов на коммутаторах. Задание IP на vlan. Задание интерфейсу нужного vlan, mirior мироринг порта. Правим /29-ую маску 255.255.255.248, IP 10.12.10.1, id у vlan 310 и номера интерфейсов 1/0/19 и т.д.
SW>en SW#sh running-config SW#show interfaces status SW#conf t SW(config)#interface vlan 310 SW(config-if)#ip address 10.12.10.1 255.255.255.248 SW(config-if)#interface GigabitEthernet 1/0/19 SW(config-if)#switchport access vlan 310 SW(config-if)#interface gigabitethernet1/1/47 SW(config-if)#port monitor GigabitEthernet 1/1/48 SW(config-if)#switchport mode access SW(config-if)#exit SW(config)#default interface GigabitEthernet1/0/33 Interface GigabitEthernet1/0/16 set to default configuration SW(config)#exit SW#wr mem
Добавление маршрута на коммутатор
Правим /16-ую маску 255.255.0.0, IP 10.11.0.0 и шлюз 10.10.10.10.
SW1(config)#ip route 10.11.0.0 255.255.0.0 10.10.10.10
Другие полезные команды
sh ip dhcp allocated, sh ip dhcp bind и sh services tcp-udp:
#sh services tcp-udp Type Local IP address Remote IP address Service name State ---- --------------------- --------------------- ------------ ----------- TCP All:22 All:0 SSH listen TCP All:80 All:0 HTTP listen TCP All:443 All:0 HTTPS listen TCP 10.10.255.1:22 10.10.255.2:58362 SSH established TCP6 All-22 All-0 SSH listen TCP6 All-80 All-0 HTTP listen TCP6 All-443 All-0 HTTPS listen UDP All:67 DHCP UDP All:123 UDP6 All-546
Заливка конфигов
Если есть конфиги XXX.cfg, начинающиеся с config-file-header:
en
В комманде ip route 10.0.0.0 255.255.255.0 10.255.255.254 указываем нужные нам IP, netmask и gw:
conf t no service config ip route 10.0.0.0 255.255.255.0 10.255.255.254 exit copy tftp: running-config conf t crypto key generate rsa service password-encryption
В комманде username cisco privilege 15 password PASSWORD заменяем PASSWORD на наш пароль к учётке cisco:
username cisco privilege 15 password PASSWORD aaa new-model ip ssh version 2 ip ssh authentication-retries 5 ip ssh logging events line vty 0 4 transport input ssh logging synchronous exec-timeout 60 0 exit exit wr mem
Для tftp демона настройки должны быть: Speed 9600, Data bits 8, Parity None, Stop Bits 1, FlowControl None, т.е. 8/N/1 (8N1). Можно указать папку с конфигами: BaseDirectory=../Config/R.
Строение файловой системы
На маршрутизаторах линейки 29XX dir выглядит так:
Directory of flash:/
2 drwx 512 Mar 1 1993 00:54:44 +00:00 c3560e-universalk9-mz.122-58.SE2
446 -rwx 111 Mar 1 1993 01:09:07 +00:00 info
447 -rwx 1919 Mar 1 1993 00:04:24 +00:00 private-config.text
450 -rwx 3096 Mar 1 1993 00:02:03 +00:00 multiple-fs
448 -rwx 3400 Mar 1 1993 00:04:24 +00:00 config.text
57409536 bytes total (35916288 bytes free)
Directory of nvram:/ 505 -rw- 3400startup-config 506 ---- 1919 private-config 1 ---- 35 persistent-data 2 -rw- 578 IOS-Self-Sig#1.cer 3 -rw- 0 ifIndex-table 524288 bytes total (515845 bytes free)
Directory of system:/
2 -r-- 0 default-running-config
4 dr-x 0 memory
1 -rw- 4737 running-config
3 dr-x 0 vfiles
No space information available
Directory of system:/memory/ 11 -r-- 8969084bss 6 -r-- 134217696 coredump 9 -r-- 14791652 data 8 -r-- 4194304 dltext 12 -r-- 34959516 heap 13 -r-- 8388608 iomem 5 -r-- 134217728 main 10 -r-- 524288 reclaimed_heap 7 -r-- 43136640 text No space information available
Directory of system:/vfiles/ 16 -r-- 0tmasinfo 14 -r-- 0 tmstats_ascii 15 -r-- 0 tmstats_binary No space information available
Directory of tmpsys:/
6 drw- 0 eem_lib_system
5 drw- 0 eem_lib_user
24 -rw- 0 eem_pnt_0
26 -rw- 0 eem_pnt_1
44 -rw- 0 eem_pnt_10
46 -rw- 0 eem_pnt_11
48 -rw- 0 eem_pnt_12
50 -rw- 0 eem_pnt_13
52 -rw- 0 eem_pnt_14
54 -rw- 0 eem_pnt_15
28 -rw- 0 eem_pnt_2
30 -rw- 0 eem_pnt_3
32 -rw- 0 eem_pnt_4
34 -rw- 0 eem_pnt_5
36 -rw- 0 eem_pnt_6
38 -rw- 0 eem_pnt_7
40 -rw- 0 eem_pnt_8
42 -rw- 0 eem_pnt_9
4 drw- 0 eem_policy
8 drw- 0 eem_pub
23 -rw- 0 eem_rpc_0
25 -rw- 0 eem_rpc_1
43 -rw- 0 eem_rpc_10
45 -rw- 0 eem_rpc_11
47 -rw- 0 eem_rpc_12
49 -rw- 0 eem_rpc_13
51 -rw- 0 eem_rpc_14
53 -rw- 0 eem_rpc_15
27 -rw- 0 eem_rpc_2
29 -rw- 0 eem_rpc_3
31 -rw- 0 eem_rpc_4
33 -rw- 0 eem_rpc_5
35 -rw- 0 eem_rpc_6
37 -rw- 0 eem_rpc_7
39 -rw- 0 eem_rpc_8
41 -rw- 0 eem_rpc_9
7 drw- 0 eem_temp
1 dr-x 0 lib
9 drw- 0 macro_scripts
No space information available
Directory of tmpsys:/lib/tcl/ 55 -r-- 19354auto.tcl 65 -r-- 2695 base.tcl 67 -r-- 9371 base64.tcl 68 -r-- 16923 cli_lib.tcl 69 -r-- 2589 context_lib.tcl 3 drw- 0 eem_scripts 72 -r-- 185 email_template_cfg.tm 73 -r-- 147 email_template_chs.tm 74 -r-- 154 email_template_cmd.tm 75 -r-- 156 email_template_dmp.tm 76 -r-- 144 email_template_sl.tm 77 -r-- 325 email_template_sm.tm 78 -r-- 135 email_template_wd.tm 56 -r-- 9183 history.tcl 57 -r-- 23558 http.tcl 61 -r-- 17985 init.tcl 63 -r-- 6980 ldAout.tcl 66 -r-- 33266 optparse.tcl 58 -r-- 19463 package.tcl 62 -r-- 1062 parray.tcl 71 -r-- 4823 parse_lib.tcl 59 -r-- 34061 safe.tcl 70 -r-- 12403 smtp_lib.tcl 64 -r-- 14838 tclIndex 60 -r-- 4547 word.tcl No space information available
Directory of tmpsys:/lib/tcl/eem_scripts/ 18 -r-- 7458ap_perf_test_base_cpu.tcl 22 -r-- 19119 cl_show_eem_tech.tcl 17 -r-- 3327 no_perf_test_init.tcl 19 -r-- 4245 sl_intf_down.tcl 16 -r-- 6112 tm_cli_cmd.tcl 20 -r-- 8271 tm_crash_reporter.tcl 21 -r-- 5464 tm_fsys_usage.tcl No space information available
Directory of tmpsys:/macro_scripts/ 11 -r-- 11170Mandatory.cdp.sh 10 -r-- 2871 Mandatory.identity.sh 12 -r-- 2318 Mandatory.link.sh 13 -r-- 2314 Mandatory.link2.sh 14 -r-- 7739 Mandatory.lldp.sh 15 -r-- 4227 Mandatory.mat.sh No space information available
На коммутаторах линейки SG dir выглядит так:
Directory of flash:
File Name Permission Flash Size Data Size Modified
------------------- ---------- ---------- --------- -----------------------
backuplo rw 655200 26 28-Nov-2013 10:33:55
debug rw 65520 65520 21-Dec-2015 16:47:21
dhcpdb.sys r- 65520 -- 21-Dec-2015 16:48:05
dhcpsn.prv -- 65520 -- 28-Nov-2013 10:33:37
directry.prv -- 65520 -- 28-Nov-2013 10:33:37
image-1 rw 10559674 10559674 21-Dec-2015 16:55:34
image-2 rw 10559674 10559674 28-Nov-2013 10:39:17
mirror-config rw 1048320 15385 31-Mar-2018 08:33:20
startup-config rw 1048320 24478 30-Mar-2018 08:33:29
syslog1.sys r- 131040 -- 21-Dec-2015 16:48:54
Total size of flash: 32899072 bytes
Free size of flash: 8634764 bytes
Check-point
2018.02.17 - добавлено; 2018.02.17 - проверена работа ссылок
Инструкции и полезная документация CPUG: The Check Point User Group.
Check Point for Beginners Lectures Series для зарегистрированных пользователей checkpoint.com от Evgeniy Olkov, Валерий Лукин, Dameon Welch-Abernathy.
Eltex
2021.02.21 - добавлено; 2021.02.21 - проверена работа ссылок
Часть настроек не применяется при перезагрузке (например стоимость маршутов). Часть настроек по умолчанию не адекватно и не описаны в доках — например ttl на тунеле. На коммутаторах периодичнскии STP сходит с ума. И так далее. Дохрена детских болезней. - комментарий в 2021 году.
В 2019 столкнулись с глюками vlan и маршрутизации на Eltex ESR-200. Не особо критично.
Руководства, статьи и стандарты
2017.06.16 - добавлено; 2017.01.27 - проверена работа ссылок
Linux Advanced Routing & Traffic Control HOWTO. Разработка Cisco - Deciphering Malware’s use of TLS (without Decryption).
Ссылка на методичку cisco от Alexey gurkin33@habrahabr. Более глючный сайт с разбором OSI. VLAN в Cisco на xgu.ru
У Cisco есть коллекция систем для оборудования: IOS, CatOS, AsyncOS, Firepower OS, NX OS. При это IOS бывает разный – IOS, IOS XE, IOS XR. Например, IOS XR имеет мало общего с обычным IOS. В основе IOS XR лежит QNX, в основе IOS XE - Linux, а IOS базируется на BSDi.
- Руководство Cisco по защите BGP
- SAFE - включает Architecture Guides, Design Guides, Related Resources, ToolKits
- Заметка в блоге Cisco о SYNful Knock (на английском и русском языках)
- Видео-советы заказчикам Cisco по поводу SYNful Knock
- Бюллетень Cisco по SYNful Knock
- Заметка в блоге Cisco об эволюции атак на оборудование Cisco
- Руководство Cisco по защите IOS
- Руководство Cisco по защите IOS XR
- Руководство Cisco по защите NX-OS
- Руководство Cisco по мониторингу целостности сетевых устройств с помощью сетевой телеметрии
- Рекомендации Cisco по защите сетевой инфраструктуры
- Руководство Cisco по контролю целостности IOS и IOS XE
- Руководство Cisco по контролю целостности образом IOS
- Подписка на бюллетени Cisco по безопасности
Создание и тестирование Firewall в Linux, Часть 1.1 Виртуальная лаборатория, Часть 1.2. Простой перехват трафика с Netfilter, Часть 1.3. Написание char device. Добавление виртуальной файловой системы…, Сети для самых матёрых. Часть двенадцатая. MPLS L2VPN, Основы компьютерных сетей. Тема №6. Понятие VLAN, Trunk и протоколы VTP и DTP - на habr, и еще Протокол QUIC: переход Web от TCP к UDP. Основан на UDP. Для ускорения загрузки страниц.
Для SMS и связи стандарт на wikipedia.org. Про Netstat - статья Микаел Григорян temujin@habr на habr от 2016.10.16. От него же Тяжелое расставание с Net-Tools - статья Микаел Григорян temujin@habr на habr от 2017.01.26.
Про алгоритмы оптимальной передачи данных между двумя узлами (TCP Congestion Control, TCP Congestion Avoidance Algorithm) - статья ValdikSS@habr на habr от 2013.02.06. Графики скорости передачи данных от количества потерянных пакетов. Упомянуты BIC TCP, CUBIC TCP, Highspeed TCP, H-TCP, TCP Hybla, TCP-Illinois, TCP Low Priority, TCP Vegas, TCP NewReno, TCP Veno, TCP Westwood+, YeAH-TCP.
Сменить Congestion Algorithm достаточно просто, всего одна строка: sysctl -w net.ipv4.tcp_congestion_control=westwood - где вместо westwood можно вставить названия из /lib/modules/.../kernel/net/ipv4/tcp_....ko без префикса tcp_.
How DNS Works на сайте Microsoft, дельная статья про NetBIOS и DNS.
Preload Http pages using Link (Server PUSH technology)
NetSkills. Видеоуроки. Cisco, zabbix, linux.
Ремонт
Cisco объявили, что неназванный производитель памяти (с 2005 по 2010) поставлял им брак. Оборудование с этой памятью может годами копить аптайм, не вызывая никаких нареканий к своей работе, но стоит перезагрузить его (по питанию или даже простым reload) — память перестает корректно работать, само устройство либо не загружается, либо загружается и периодически падает. Связано это с деградацией чипов памяти. По заявлению вендора, основные проблемы начинаются после двух лет эксплуатации. Замена стандартная, по RMA, железки целиком или планки памяти, как только сломается.Конкретные партнамберы и детальное описание симптомов можно прочитать в Field Notices или сразу по ссылкам.
- Модули ACE10, ACE20, and ACE30
- FWSM
- ADM&AGM
- SAMI
- Разные HWIC, EHWIC, EVM, NME, SM модули
- Разные SPA
- Некоторые телефоны
- Некоторые кодеки ВКС
- ONS 15310 и 15454
- ASR 1000
- Маршрутизаторы 7200/7300
- CRS
- Многое под 7600 и 6500
- Маршрутизаторы серий 800, 1800, 2800 и 3800
- ESR10k
- Сенсоры IPS-4240 и 4255
- ASA 5505 и 5510-5550/ASA-SSM (модели 5500-X не упомянуты)
- MDS 9000
- Catalyst Express 500
- Nexus 7000
- Catalyst 4500/4900
- Catalyst 3k
- Catalyst 2k
- ME3400 и ME2400
- MGX
- IE3000
- AS5400XM и AS5350
- UC520/540
Весной 2017 обнаружилась проблема с компонентом тактового генератора (Clock Signal Component), который может преждевременно выйти из строя после 18 месяцев эксплуатации и устройство перестанет загружаться. Проблема затронула:
- ASA 5506, 5506W, 5506H, 5508, and 5516
- ISA3000
- ISR4331, ISR4321, ISR4351
- UCS-E120
- IR809/IR829
- NCS5500 Line Cards
- NCS1K-CNTLR
- N9K-C9504-FM-E/N9K-C9508-FM-E/N9K-X9732C-EX
- Meraki MX 84
- Meraki MS350 Series
| Networking (Оптические сети) | FN-64230 | NCS1K-CNTLR |
| Routing | FN-64231 | NCS 5500 Line Cards |
| FN-64252 | IR809/IR829 Industrial Integrated Services Routers | |
| FN-64253 | ISR4331, ISR4321, ISR4351 and UCS-E120 | |
| Security | FN-64228 | ASA 5506, ASA 5506W, ASA 5506H, ASA 5508, and ASA 5516 |
| FN-64250 | Cisco ISA 3000 Industrial Security Appliance | |
| Meraki Notification | MX 84 | |
| Switches | FN-64251 | Nexus 9000 Series N9K-C9504-FM-E/N9K-C9508-FM-E/N9K-X9732C-EX |
| Meraki Notification | MS350 Series |
Submerged
2016.11.07 - добавлено; 2016.11.07 - проверена работа ссылок
global
eDOney server list for shareaza
Freenet use: C:\Users\u\AppData\Local\Freenet http://localhost:8888/?incognito=true
mesh nets
2016.02.06 - добавлено; 2016.02.06 - проверена работа ссылок
hide traffic
2017.09.07 - добавлено; 2017.09.07 - проверена работа ссылок
Ускорить работу туннеля можно, используя kcptun.
Инструменты для туннелирования трафика: reGeorg, dnscat2, icmptunnel, GoVPN там сигнатур нет совсем, и даже есть режим постоянного битрейта, независимо от того передаются пользовательские данные или нет. В OpenVPN есть опция --tls-crypt, которая скрывает данные в control channel, и, соответственно, хендшейк, но есть проблема с производительсностью, аналогичная SoftEther VPN, а вот Udp2raw turns udp packets into tcp packets by using raw socket,so it doesnt have similiar problem.
solutions
2016.02.06 - добавлено; 2016.02.06 - проверена работа ссылок
Сегодня активно развиваются следующие решения: Freenet, GNUnet, JAP, RetroShare, Perfect Dark. Также интерес могут представлять анонимные сети, построенные на основе Wi-Fi, позволяющие достичь независимости от интернет-провайдеров: проект Byzantium, проект Netsukuku, проект B.A.T.M.A.N. test at wikipedia
Хостим сайт в межпланетной файловой системе IPFS под Windows и Межпланетная файловая система IPFS про IPFS на habr
Компании
2017.06.15 - добавлено; 2017.06.15 - проверена работа ссылок
- Damballa
- SensorBase
- SenderBase
- FireEye
- Netwitness
Инструменты
2017.06.15 - добавлено; 2017.06.15 - проверена работа ссылок
- ipt_NETFLOW от abc@telekom.ru NetFlow v5, v9, IPFIX and Full IPv6 support.
- netflow-dpdk от analytaps.net (admin@analytaps.net). Не поддерживается с 2015 года.
- Inperfo – минималистичный мониторинг сети, доп. статьи.
- SensorBase
- SenderBase
- FireEye
- Netwitness
- Check Point Security CheckUP. Бесплатный аудит безопасности сети. Часть 1, R80.10. Часть 2, R80.10. Часть 3
Проги
2018.12.23 - добавлено; 2017.06.15 - проверена работа ссылок
Первоначально в Cisco для мониторинга использовались бесплатные решения nfdump и OSU FlowTools (OSU — это аббревиатура от Ohio State University), позволяющие работать с Netflow — фильтровать, делать выборку и производить другие операции над сетевыми потоками. У этих утилит были недостатки:
- не позволяли, нормально агрегировать потоки, что приводило к их дублированию (представьте, что один и тот же поток проходит через 6 сетевых устройств — утилиты их также увидят и запишут 6 раз);
- nfdump и Flow Tools не позволяли отслеживать потери потоков;
- были сложности, связанные с поддержкой, добавлением новых фич, расширением числа поддерживаемых версий Netflow и т.п.;
- работа с nfdump и Flow Tools требовала усилий по автоматизации типовых и рутинных задач, связанных с расследованием инцидентов и реагированием на них;
- отсутствие нормальной аналитики.Обладая гибкими средствами фильтрации и выборки, без человека nfdump и Flow Tools не способны принять решение о наличии или отсутствии проблемы в сетевых потоках.
Поэтому Cisco приобрела Stealthwatch у компании Lancope, которую позже купила и сделала частью Cisco. Stealthwatch построен по классической для любого анализатора архитектуре “сенсор — коллектор — анализатор”. В Stealthwatch автоматически появится функция Encrypted Traffic Analytics, позволяющая детектировать вредоносный код в зашифрованном трафике. Интеграция с AnyConnect, который внедрен у каждого сотрудника Cisco на его ноутбуке, смартфоне или лэптопе, для того, что получать данные об активности пользователей и приложений в формате Netflow и корреляции этой информации с Netflow на сетевом уровне.
SNMP monitoring tools
- Zabbix
- Nagios
Протоколы
2018.12.23 - добавлено; 2017.07.03 - проверена работа ссылок
Netflow бывает несемплированный и семплированный. Многие сетевые устройства поддерживают Netflow, но только семплированный, который не подходит для целей безопасности. Существует несколько версий протокола Netflow, самыми распространенными из которых сегодня являются 5-я и 9-я. На основе последней была разработана открытая спецификация IPFIX. 5-я версия протокола позволяет собирать следующую информацию о сетевом трафике:
- Адрес источника;
- Адрес назначения;
- Порт источника для UDP и TCP;
- Порт назначения для UDP и TCP;
- Тип и код сообщения для ICMP;
- Номер протокола IP;
- Сетевой интерфейс (параметр ifindex SNMP);
- Значение Type of Service;
- Временные параметры;
- Объем переданных байт и пакетов;
- Значения флагов TCP;
- Маршрутную информацию;
- Информацию об автономных системах.
9-я версия поддерживает дополнительные поля, связанные с IPv6, MPLS, BGP. Также существуют и расширенные версии Netflow, тот же IPFIX, Flexible Netflow, которые поддерживают и пользовательские поля.
NetStream для Huawei
Nsflow
Jflow
Rflow
Cflow
sFlow
ipt-netflow
Определяем версию (release, а не version) ядра
uname -r
Например на ubuntu это будет 4.10.0-19-generic. Поэтому в следующей команде заменям linux-headers-amd64 на linux-headers-generic
sudo apt-get install iptables-dev pkg-config kmod dkms linux-headers-amd64 gawk dpkg-dev module-assistant snmpd libsnmp-dev
sudo m-a prepare
git clone git://github.com/aabc/ipt-netflow.git ipt-netflow
cd ipt-netflow
sudo ./configure
sudo make all install
sudo depmod
modprobe ipt_NETFLOW destination=127.0.0.1:2055
sudo iptables -I FORWARD -j NETFLOW
sudo iptables -I INPUT -j NETFLOW
sudo iptables -I OUTPUT -j NETFLOW
смотреть
cat /proc/net/stat/ipt_netflow
Далее
sudo sysctl net.netflow.protocol=10
sudo sysctl net.netflow.destination=192.168.20.99:3000
NetFlow
2017.05.05 - добавлено; 2017.05.05 - проверена работа ссылок
NetFlow FlowMon FlowMon
Шаблон NetFlow для IOS
# conf t
(config)# mls netflow interface
(config)# mls flow ip interface-full
(config)# ip flow-export source
(config)# ip flow-export version <#>
(config)# ip flow-export destination
(config-int)# ip flow ingress
Шаблон Netflow для Nexus
# conf t
(config)# feature netflow
(config)# flow record
(config)# match ip ipv4 source address
(config)# match ip ipv4 destination address
...
(config)# flow exporter
(config)# destination
(config)# transport UDP 2055
(config)# version <#>
(config)# source
(config)# flow monitor
(config)# record
(config)# exporter
(config-int)# ip flow monitor input
(config)#
NBAR есть два типа Protocol Discovery и Modular QoS. Для проверки доступны только первые 255 байт полезной нагрузки.
NBAR зачем:
NBAR в режиме Modular QoS позволяет более эффективно использовать пропускную способность сети при выполнении функций QoS
Для NBAR есть уязвимость в CFT
NBAR Protocol Discovery настройка:
Router(config)# interface fastethernet 0/0
Router(config-if)# ip nbar protocol-discovery
Мониторинг
Router# show ip nbar protocol-discovery [interface interface-spec][stats {byte-count|bit-rate|packet-count}][protocol protocol-name| top-n number}]
NBAR Modular QoS настройка:
Router(config)# class-map [match-any|match all]
Router(config-cmap)# match protocol
class-map match-any peer2peer
match protocol kazaa2
match protocol gnutella
match protocol fastrack
policy-map limit-p2p
class peer2peer
bandwidth percent 10
interface Serial1
service-policy input limit-p2p
router(config)# ip nbar custom name [offset [format value]] [variable field-name field-length] [source|destination] [tcp | udp] [range start end | port-number]
Пример с сайта киски
ip nbar custom my_protocol // имя до 24 символов
8 {ascii|hex|decimal} my_string {tcp|udp} [source|destination] // отчет байтов с 0, начальный байт строки или значения в пакете данных, ASCII (максимум 16 символов) или hex или decimal
range 8000 8001
!
class-map my_class
match protocol my_protocol
!
policy-map my_policy
class my_class
set ip dscp AF22 // match ip dscp ? выдаст список всех возможных dscp
!
interface my_serial
service-policy output my_policy
ToS - Type of Service, DSCP - Differenciated Services Code Point, CoS - Class of Service, QoS - Quality of Service. Термин QoS объединяет три термина ToS, DSCP, CoS. QoS - Quality of Service нужен для построения и обработки очереди пакетов с разным приоритетом по одному из алгоритмов DWRED (Distributed Weighted Random Early Detection), WFQ (weighted fair queueing), CAR (Committed Access Rate). В ToS терминологии используют 3 старшие бита P2..P0, кодирующие уровень приоритета от 0 (минимальный приоритет) до 7 (максимальный приоритет). Для IP-телефонии уровень приоритета 5 (critical, ToS-байт равен 0xA0 или 10100000b), а для обычного трафика уровень 0 (routine, ToS-байт равен 0x00 или 00000000b). Cisco для каждого уровня приоритета придумала специальное имя (precedence critical, precedence flash и т. д., см. таблицу).
| Уровень | Имя |
| 0 | routine |
| 1 | priority |
| 2 | immediate |
| 3 | flash |
| 4 | flash-override |
| 5 | critical |
| 6 | internet |
| 7 | network |
В DSCP терминологии используют 6 старших бит DS5..DS0, где DS5..DS3 кодируют уровень класса обслуживания от 0 для минимального приоритета до 7 - максимальный приоритет. Остальные биты для приоритета удаления от 0, когда приоритет удаления максимальный, до 7, когда приоритет удаления минимальный. В итоге получается число от 0 до 63, кодирующее приоритет (чем больше число, тем трафик важнее).
- С классификацией протоколов
- С отслеживанием состояния на уровне L4, на основании портов
- С отслеживанием состояния, на основании потока и сигнатур L7
- MPE мультипакетные подсистемы
- С поведенческими и статистическими методами
- Поддержка IPv4, IPv6 и вложенного трафика
Пример настройки Flexible Netflow (FNF)
Настройка экспортера
Router(config)# flow exporter my-exporter
Router(config-flow-exporter)# destination ip4.ip4.ip4.ip4
Настройка записи о потоке
Router(config)# flow record my-record
Router(config-flow-record)# match ipv4 destination address
Router(config-flow-record)# match ipv4 source address
Router(config-flow-record)# collect counter bytes
Настройка монитора потока
Router(config)# flow monitor my-monitor
Router(config-flow-monitor)# exporter my-exporter
Router(config-flow-monitor)# record my-record
Настройка интерфейса
Router(config)# interface s3/0
Router(config-if)# ip flow monitor my-monitor input
Интеграция Flexible Netflow (FNF) и NBAR
router(config)# flow record app_record
router(config-flow-record)# match ipv4 source address
router(config-flow-record)# match ipv4 destination address
router(config-flow-record)# match application name
До тех пор, пока приложение не будет классифицировано, для имени приложения "application name" используется значение "unknown"
Завершение потока или транзакции
router(config)# flow monitor
router(config-flow-monitor)# cache timeout event transaction-end
Параметры измерений на основании данных NBAR и CFT (Common Flow Table)
router(config)# flow record
router(config-flow-record)# match application name
router(config-flow-record)# match connection transaction-id // id транзакции между клиентом и сервером
router(config-flow-record)# collect connection new-connections // количество новых соединений
router(config-flow-record)# collect connection sum-duration // общее время в секундах для всех соединений
router(config-flow-record)# collect connection initiator // направление потока
router(config-flow-record)# collect flow end-reason
Пример стандартной конфигурации NBAR
router(config)# flow record
router(config-flow-record)# match interface input
router(config-flow-record)# match ipv4 source address
router(config-flow-record)# match ipv4 destination address
router(config-flow-record)# match application name account-on-resolution
router(config-flow-record)# collect counter packets
router(config-flow-record)# collect counter bytes
router(config)# flow exporter
router(config-flow-exporter)# destination
router(config-flow-exporter)# option interface-table
router(config-flow-exporter)# option application-table
router(config-flow-exporter)# option application-attributes
router(config)# flow monitor
router(config-flow-monitor)# record
router(config-flow-monitor)# exporter
router(config-flow-monitor)# cache timeout event transaction-end
router(config)# interface eth0/0
router(config-if)# ip flow monitor input
Формирование отчетов по приложениям IPv6 при помощи Flexible Netflow
router(config)# flow record app_record
router(config-flow-record)# match ipv6 source address
router(config-flow-record)# match ipv6 destination address
router(config-flow-record)# match application name
Router# show flow monitor APPIPv6 cache format table
FlowMon
2017.06.15 - добавлено; 2017.06.15 - проверена работа ссылок
FlowMon probe (виртуальные и железные)
Собирает информацию IPFIX, s-flow, NetFlow, j-flow (Juniper). Уменьшает трафик 500:1. Анализирует заголовки пакетов, можно анализировать и тело, но тело не хранится. SRC & DST IP и port, номер протокола. Время жизни, количество, сумма байт. Некоторые другие. Есть FlowMon collector и FlowMon Monitoring Center, которые работают только с FlowMon probe на котором установлены, но не для виртуалок. Вставляется в span-порт коммутатора или в tap, которые могут быть оптические или медные. Стандартные идут в 1U исполнении и поддерживают 10x100 Мбит 1x10 Гбит. Pro модели 1U/2U исполнения 10/40/100 Гбит.
FlowMon collector (виртуальные и железные)
Application Performance Monitoring - статистика хранится около 120 дней в продакшен проектах
Trafic Recorder даёт команду FlowMon probe собирать трафик с определёнными параметрами. dump трафика в pcap формате. Плюсом является то, что не надо сам трафик гонять по сети.
FlowMon Anomaly Detector System (ADS) работает не по сигнатурам, а по трафику. Например, есть связи с IP:port замеченными в ботоводстве - репортим связь с ботнет сетью.
DDoS protector - защита от DDoS атак может быть и не существует, только detect, но можно перенаправить трафик. В лабораторных условиях web-control Не тестил пока (2017).
Партнерская программа: 1 специалист для 1 ступени, далее нужны продажи
Лицензирование: надо купить железку (желательно), а далее по количеству fps (100k, 150k, 200k, но даже 100k - это очень много. Так, например, 100k fps это канал на 30 Гбит. Железные Collectors отличаются также и по HD).
Тип продаж: подписка, железные, виртуальные (Hyper-V или vmware 4.1+).
Стоимость: FlowMon prob от 6 000$ до 90 000 $, FlowMon collector от 10 000 $ до 90 000 $. "Входной билет" FlowMon probe и Anomaly Detector System (ADS) 15 000 $. 2 FlowMon prob, 1 FlowMon collector, Anomaly Detection System (ADS) 30 000 $, а если с Traffic Recorder, то 35 000 $ - 37 000 $. Аппелируют, что то, что анализирует тело пакетов - стоит гораздо больше.
tip: как показывает практика, возникают споры у безопасников и сетевиков, кто должен купить.
tip: When system is booted you will be asked for login and password. Use login flowmon and password inv3a-t3ch. Then type sysconfig and press enter.