По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Для захвата трафика можно использовать маршрутизаторы Cisco, при помощи утилиты Cisco Embedded Packet Capture, которая доступна, начиная с версии IOS 12.4.20T. В этой статье мы расскажем, как настроить EPC для захвата пакетов на роутере, сохранять их на flash памяти или экспортировать на ftp/tftp сервер для будущего анализа, при помощи анализатора пакетов, например, такого как Wireshark. Давайте рассмотрим некоторые из основных функций, которые предлагает нам Embedded Packet Capture: Экспорт пакетов в формате PCAP, обеспечивающий анализ с помощью внешних инструментов Возможность задать различные параметры буфера захвата Отображение буфера захвата Захват IPv4 и IPv6 пакетов в пути Cisco Express Forwarding Прежде чем начать конфигурацию Cisco EPC необходимо разобраться с двумя терминами, которые будут использоваться в процессе – Capture Buffer(буфер захвата) и Capture Point (точка захвата) Capture buffer – это зона в памяти для хранения пакетных данных. Существует два типа буферов захвата Linear (линейный) и Circular (кольцевой): Linear Capture Buffer – когда буфер захвата заполнен, он перестает захватывать данные Circular Capture Buffer – когда буфер заполнен, он продолжает захватывать данные, перезаписывая старые данные Capture Point – это точка транзита трафика, в которой фиксируется пакет. Тут определяется следующее: IPv4 или IPv6 CEF (Cisco Express Forwarding) или Process-Switched Интерфейс (например Fast Ethernet 0/0, Gigabit Ethernet 1/0) Направление трафика: входящий (in), исходящий (out) или оба Настройка Cisco Embedded Packet Capture Рассмотрим настройку на примере нашей схемы, где мы хотим захватить входящие и исходящие пакеты на интерфейсе FastEthernet 0/0 от ПК с адресом 192.168.1.5 до веб-сервера wiki.merionet.ru с адресом 212.193.249.136 Первым делом мы создадим буфер, который будет хранить захваченные пакеты. Для этого используем команду monitor capture buffer [имя] size[размер] [тип] . Создадим буфер merionet_cap, размером 1024 килобайта (1 мегабайт, стандартный размер) и сделаем его линейным. Router#monitor capture buffer merionet_cap size 1024 linear Далее мы можем настроить захват определенного трафика. В нашем случае нужно захватить трафик между 192.168.1.5 и 212.193.249.136. Это достигается при помощи списков контроля доступа ACL. Мы можем использовать стандартные или расширенные списки доступа в зависимости от требуемой детализации. Если список доступа не настроен, то захвачен будет весь трафик. Router(config)#ip access-list extended web-traffic Router(config-ext-nacl)#permit ip host 192.168.1.5 host 212.193.249.136 Router(config-ext-nacl)#permit ip host 212.192.249.136 host 192.168.1.5 Наш список доступа включает трафик, исходящий от обоих хостов, потому что мы хотим захватить двунаправленный трафик. Если бы мы включили только один оператор ACL, тогда был бы зафиксирован только односторонний трафик. Теперь свяжем наш буфер с access-list’ом, при помощи команды monitor capture buffer [название_буфера] filter access-list [название_ACL] Router#monitor capture buffer merionet_cap filter access-list web-traffic Затем следующем шагом мы определяем, какой интерфейс будет точкой захвата. В нашем случае это FastEthernet 0/0, и мы будем захватывать как входящие, так и исходящие пакеты. Во время этой фазы конфигурации нам нужно предоставить имя для точки захвата. Также очень важно ввести команду ip cef для обеспечения минимального влияния на процессор маршрутизатора, при помощи Cisco Express Forwarding. Если ip cef не включен, то появится сообщение IPv4 CEF is not enabled. Используем команду monitor capture point ip cef [имя_точки] [интерфейс] [направление] . Router#monitor capture point ip cef MNpoint FastEthernet0/0 both Теперь мы связываем сконфигурированную точку захвата с буфером захвата командой monitor capture point associate [название_точки][название_буфера] . На этом этапе мы готовы начать сбор пакетов. Router#monitor capture point associate MNpoint merionet_cap Чтобы начать сбор пакетов используем команду monitor capture point start [название_интерфейса] . Router# monitor capture point start MNpoint Чтобы остановить процесс захвата используется команда monitor capture point stop [название_интерфейса] . Router# monitor capture point stop MNpoint Полезные команды проверки: show monitor capture buffer – показывает состояние буфера захвата show monitor capture point – показывает состояние точки захвата show monitor capture buffer [название_буфера] – показывает информацию о захваченных пакетах show monitor capture buffer [название_буфера] dump – показывает содержание буфера Экспорт данных В большинстве случаев захваченные данные необходимо будет экспортировать в сетевой анализатор трафика (например, WireShark) для дополнительного анализа в удобном для пользователя интерфейсе. Захваченный буфер можно экспортировать в несколько местоположений, включая: flash: (на маршрутизаторе), ftp, tftp, http, https, scp и другие. Для экспорта буфера используется команда monitor capture buffer[имя_буфера] export [адрес] . Router#monitor capture buffer merionet_cap export tftp://192.168.1.10/capture.pcap После этого файл capture.pcap появится на нашем TFTP сервере, и мы можем открыть его в сетевом анализаторе.
img
Первая часть статьи доступна по ссылке: Базовая настройка коммутатора Cisco - часть 1 Защита доступа в пользовательском режиме с помощью локальных имен пользователей и паролей Коммутаторы Cisco поддерживают два других метода безопасного входа, которые используют пары имя пользователя / пароль вместо общего пароля без ввода имени пользователя. Первый метод, использует ввод локального имени пользователя и пароля. Происходит настройка пары имя пользователя / пароль локально-то есть в конфигурации коммутатора. Коммутаторы поддерживают режим локального имени пользователя / пароля для входа по консоли, по Telnet и даже по SSH, но не изменяют пароль от привилегированного режима (enable), используемый для входа в режим enable. Настройки для перехода от использования простых общих паролей к использованию локальных имен пользователей/паролей требует лишь небольших изменений конфигурации, как показано на рис.3. На рисунке показаны два ПК, пытающиеся получить доступ к пользовательскому режиму. Один из ПК подключен по консольному кабелю в пользовательский режим через линию console 0, а другой ПК по Telnet, соединяющийся через терминальные линии vty 0 15. Оба ПК не имеют паролей для входа, и задано имя пользователя для обоих ПК - " local." На рисунке в Пользовательском режиме используется две команды: 1- username ulanbaby secret box 2- username landy secret box Глядя на настройки на рисунке, видно, во-первых, коммутатору, необходимо задать пару имя пользователя/пароль. Для их создания, в режиме глобальной конфигурации, введите команду создания имени пользователя и зашифрованного пароля -username <имя пользователя> secret <пароль>. Затем, чтобы включить тип безопасности входа с проверкой логина (имени пользователя ) по консоли или Telnet, просто добавьте команду login local. По сути, эта команда означает " использовать локальный список имен пользователей для входа в систему." Вы также можете использовать команду no password, чтобы очистить все оставшиеся команды паролей из консоли или режима vty, потому что эти команды не нужны при использовании локальных имен пользователей и паролей. Ниже подробно описаны шаги для настройки доступа к к коммутатору с использованием логина и пароля: Шаг 1. В режиме глобальной конфигурации используйте команду username <имя пользователя > secret <пароль>, чтобы создать одну или несколько пар имя пользователя/пароль в локальной базе коммутатора. Шаг 2. Настройте консоль на использование пар имя пользователя / пароль из локальной базы коммутатора: используйте команду line con 0 для входа в режим конфигурации консоли. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль, совпадающие со списком локальных имен пользователей/паролей. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации. Шаг 3. Настройте Telnet (vty) для использования пар имя пользователя / пароль из локальной базы коммутатора: 1. используйте команду line vty 0 15 для входа в режим конфигурации vty для всех 16 терминальных линий vty (пронумерованных от 0 до 15). 2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль для всех входящих пользователей Telnet, со списком локальных имен пользователей/паролей. 3. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации. При попытке подключиться по Telnet к коммутатору, настроенному как показано на рисунке, пользователю будет предложено сначала ввести имя пользователя, а затем пароль, как показано в Примере 4. Пара имя пользователя / пароль должна быть в локальной базе коммутатора.В противном случае вход в систему будет отклонен. В примере 4 коммутаторы Cisco не отображает символы при вводе пароля по соображениям безопасности. Защита доступа в пользовательском режиме с помощью внешних серверов аутентификации В конце примера 4 показано одно из многочисленных улучшений безопасности, когда требуется, чтобы каждый пользователь входил под своим собственным именем пользователя. Также в конце примера показано, как пользователь входит в режим конфигурации (configure terminal), а затем сразу же покидает его (end). Обратите внимание, что при выходе пользователя из режима конфигурации коммутатор генерирует сообщение журнала (log). Если пользователь вошел в систему с именем пользователя, сообщение журнала (log) идентифицирует это имя пользователя; В примере сгенерировано сообщение журнала по имени "ulanbaby". Однако использование имени пользователя / пароля, настроенного непосредственно на коммутаторе, не всегда удобно при администрировании. Например, каждому коммутатору и маршрутизатору требуется настройка для всех пользователей, которым может потребоваться войти на устройства. Затем, когда возникнет необходимость внесения изменений в настройки, например, изменение паролей для усиления безопасности, настройки всех устройств должны быть изменены. Лучшим вариантом было бы использовать инструменты, подобные тем, которые используются для многих других функций входа в ИТ. Эти инструменты обеспечивают центральное место для безопасного хранения всех пар имя пользователя / пароль, с инструментами, чтобы заставить пользователей регулярно менять свои пароли, инструменты, чтобы отключать пользователей, когда они завершают сеанс работы, и так далее. Коммутаторы Cisco позволяют именно этот вариант, используя внешний сервер, называемый сервером аутентификации, авторизации и учета (authentication, authorization, and accounting)(AAA). Эти серверы содержат имена пользователей / пароли. Сегодня многие существующие сети используют AAA-серверы для входа на коммутаторы и маршрутизаторы. Да для настройки данного входа по паре имя пользователя / пароль необходимо произвести дополнительные настройки коммутатора. При использовании AAA-сервера для аутентификации коммутатор (или маршрутизатор) просто отправляет сообщение на AAA-сервер, спрашивая, разрешены ли имя пользователя и пароль, и AAA-сервер отвечает. На рисунке показано, что пользователь сначала вводит имя пользователя / пароль, коммутатор запрашивает AAA-сервер, а сервер отвечает коммутатору, заявляя, что имя пользователя/пароль действительны. На рисунке процесс начинается с того, что ПК " А " отправляет регистрационную информацию через Telnet или SSH на коммутатор SW1. Коммутатор передает полученную информацию на сервер "AAA" через RADIUS или TACACS+. Сервер отправляет подтверждение коммутатору, который, в свою очередь, отправляет приглашение (разрешение) на ввод команды в пользовательскую систему. Хотя на рисунке показана общая идея, обратите внимание, что информация поступает с помощью нескольких различных протоколов. Слева, соединение между Пользователем и коммутатором или маршрутизатором использует Telnet или SSH. Справа коммутатор и AAA-сервер обычно используют протокол RADIUS или TACACS+, оба из которых шифруют пароли, при передаче данных по сети. Настройка защищенного удаленного доступа по SSHl До сих пор мы рассматривали доступ к коммутатору по консоли и Telnet, в основном игнорируя SSH. У Telnet есть один серьезный недостаток: все данные в сеансе Telnet передаются в открытом виде, включая обмен паролями. Таким образом, любой, кто может перехватывать сообщения между Пользователем и коммутатором (man-in-the-middle attack), может видеть пароли. SSH шифрует все данные, передаваемые между SSH-клиентом и сервером, защищая данные и пароли. SSH может использовать тот же метод аутентификации локального входа, что и Telnet, с настроенными именем пользователя и паролем в локальной базе коммутатора. (SSH не работает с методами аутентификации, которые не используют имя пользователя, например только общие пароли.) Итак, в настройке доступа для локальных пользователей по Telnet, как показано ранее на рисунке, также включена локальная аутентификация по имени пользователя для входящих соединений SSH. На рисунке показан один пример настройки того, что требуется для поддержки SSH. Рисунок повторяет конфигурацию создания локального пользователя, (см. рисунок) для подключения по Telnet. На скриншоте показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе. На рисунке показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе. На рисунке показан листинг настройки SSH. Для настройки SSH на рисунке, отображаются команды: hostname sw-1 (задает имя коммутатору) ip domain-name testing.com (команда использует полное доменное имя sw-1.testing.com) crypto key generate rsa. Для локальной конфигурации имени пользователя (например, Telnet) отображаются следующие команд: username ulanbaby secret box username landy secret man line vty 0 15 login local IOS использует три команды: две для конфигурации SSH, а также одну команду для создания ключей шифрования SSH. Сервер SSH использует полное доменное имя коммутатора в качестве входных данных для создания этого ключа. Коммутатор создает полное доменное имя из имени хоста и доменного имени коммутатора. Рисунок 5 начинается с установки обоих значений (на тот случай, если они еще не настроены). Затем третья команда, команда crypto key generate rsa, генерирует ключи шифрования SSH. IOS по умолчанию использует SSH-сервер. Кроме того, IOS по умолчанию разрешает SSH-соединения по vty. Просмотр настроек в режиме конфигурации, шаг за шагом, может быть особенно полезен при настройке SSH. Обратите внимание, в частности, что в этом примере команда crypto key запрашивает у пользователя модуль ключа; вы также можете добавить параметр modulus modulus-value в конец команды crypto key, чтобы добавить этот параметр в команду. В примере 5 показан порядок настройки ssh ( такие же команды, что и на рис. 5) Ключ шифрования является последним шагом. Ранее упоминалось, что одним полезным значением по умолчанию было то, что коммутатор по умолчанию поддерживает как SSH, так и Telnet на линиях vty. Однако, поскольку Telnet не безопасный протокол передачи данных, то вы можете отключить Telnet, чтобы обеспечить более жесткую политику безопасности. Для управления тем, какие протоколы коммутатор поддерживает на своих линиях vty, используйте подкоманду transport input {all | none / telnet / ssh} vty в режиме vty со следующими опциями: transport input all or transport input telnet ssh поддержка как Telnet, так и SSH transport input none: не поддерживается ни один протокол transport input telnet: поддержка только Telnet transport input ssh: поддержка только SSH В завершении этой части статьи о SSH, расписана пошаговая инструкция настройки коммутатора Cisco для поддержки SSH с использованием локальных имен пользователей. (Поддержка SSH в IOS может быть настроена несколькими способами; эта пошаговая инструкция показывает один простой способ ее настройки.) Процесс, показанный здесь, заканчивается инструкцией настройки локального имени пользователя на линиях vty, как было обсуждено ранее в первой части данной серии статей. Шаг 1. Настройте коммутатор так, чтобы он генерировал совпадающую пару открытых и закрытых ключей для шифрования: если еще не настроено, задайте командой hostnamename имя для этого коммутатора в режиме глобальной конфигурации. Если еще не настроено, задайте командой ip domain-namename доменное имя для коммутатора в режиме глобальной конфигурации. Используйте команду crypto key generate rsa в режиме глобальной конфигурации (или команду crypto key generate RSA modulus modulus-value, чтобы избежать запроса модуля ключа) для генерации ключей. (Используйте по крайней мере 768-битный ключ для поддержки SSH версии 2.) Шаг 2. (Необязательно) используйте команду ip ssh version 2 в режиме глобальной конфигурации, чтобы переопределить значение по умолчанию для поддержки обеих версий протокола удаленного доступа SSH 1 и 2, так что бы разрешены были только соединения SSHv2. Шаг 3. (Необязательно) если вы еще не настроили нужный параметр, задайте на линии vty для работы по SSH и Telnet.: используйте команду transport input ssh в режиме конфигурации линий vty, чтобы разрешить только SSH. используйте команду transport input all (по умолчанию) или команду transport input telnet ssh в режиме конфигурации линий vty, чтобы разрешить как SSH, так и Telnet. Шаг 4. Используйте различные команды в режиме конфигурации линий vty для настройки локальной аутентификации имени пользователя, как описано ранее в этой статье. На маршрутизаторах Cisco часто по умолчанию настроен параметр transport input none. Поэтому необходимо добавить подкоманду transport input line для включения Telnet и / или SSH в маршрутизаторе. Для просмотра информации о состояния SSH на коммутаторе используются две команды. Во-первых, команда show ip ssh выводит информацию о состоянии самого SSH-сервера. Затем команда show ssh выводит информацию о каждом клиенте SSH, подключенном в данный момент к коммутатору. В пример 6 показаны примеры работы каждой из команд, причем пользователь ULANBABY в данный момент подключен к коммутатору.
img
Текстовый редактор Vi, базовый текстовый редактор практически любой операционной системы типа Linux. Он есть практически во всех дистрибутивах и сборках, кроме, наверное, самых одиозных. Знание данного текстового редактора может понадобится в ситуации, когда нет возможности заменить данный текстовый редактор, каким ни будь другим. Например, проведена установка операционной системы в минимальном варианте, а подключение к интернету нету и требуется подправить файл конфигурации сетевых настроек. В данной статье я постараюсь осветить такие вопросы, как: перемещение по документу, копирование фрагмента текста, вырезка фрагмента текста, удаление текста, вставка фрагмента текста, Осуществление поиска по тексту, использование командного режима работы. Перемещение по тексту мы можем осуществлять стрелочками, расположенными на цифровой клавиатуре. Но иногда так бывает, что данные стрелочки в некоторых дистрибутивах не работают и в таком случае мы можем перемещаться с помощью клавиш, указанных на картинке сверху: h, j, k, l. Что для некоторых может быть неожиданно, вместо “геймерских” : w, a, s, d. Для того, чтобы попасть в начало и в конец слова, мы можем использовать клавиши: e – end, b – begin. Чтобы попасть в начало или конец предложения клавиши ( - конец, ) – начало. Аналогично для перемещения по абзацем используются фигурные скобки: { - конец, } – начало обзаца. Для перемещения по строке: ^ - начало, $- конец строки. И для полноты картины 1G и G – конец и начало файла. Текстовый редактор Vi – такой же инструмент системного администратора, как и любая другая утилита. man vi Редактор vi имеет модальный интерфейс, т.е одни и те же клавиши в зависимости от режима работы могут выполнять разные функции. По умолчанию у редактора vi есть два режима работы: командный и режим вставки. Когда мы работает в командном режиме, буквы и символы, набираемые на клавиатуре, являются командами, а в режиме вставки, они являются просто буквами, вставляемыми в текст. Когда вы начинаете работать с файлом в текстовом редакторе, работы начинается в командном режиме. Редактор vi имеет подробный help с описанием работы в данном режиме. Для примера работы, возьмем любой текст. В данном случае текстовый файл lic.txt. Откроем в редакторе vi. vi lic.txt Если такого файла не будет, то будет созданной пустой файл с именем которое вы набрали. При открытии сразу попадаем в командный режим текстового редактора. И можно опробовать движение курсора буквами или стрелочками. Для того, чтобы перейти в режим вставки необходимо нажать i – insert, после этого активируется режим, в котором вы можете вставлять символы перед курсором. Соответственно на картинке видно, что появилась надпись –insert-- и мы вставили 3 единички. Чтобы выйти из данного режима достаточно нажать клавишу ESC. Можно так же переходить в режим вставки клавишей o – вставит строчку или клавишей S – заменит символ. Следующая часть полезного функционала вставка фрагмента текста и удаление части текста. Фактически это те же действия, которые мы выполняем в классическом текстовом редакторе от компании Microsoft в пакете Office, т.е в MS Word используя сочетание клавиш Ctrl+V или Ctrl+C. Для наглядности табличка на картинке, как эти же действия осуществляются в редакторе vi: Для того, чтобы скопировать строку в буфер (или как правильно в Linux называется в регистр), необходимо встать на строчку в командном режиме и нажать yy. Переходим курсором на нужное место нажимаем p и происходит вставка того, что находилось в регистре. Для того, чтобы скопировать слово, мы поступаем аналогично за исключением того, что нажимаем сочетание клавиш yw. Удаление слова или строки происходит аналогичным образом. За исключением того, что удаленная строка, не полностью удаляется, а по аналогии с Word вырезается и хранится в регистре (Буфере). И еще одна важная табличка с сочетаниями клавиш для работы в командном режиме. Это те команды, которые помогают осуществлять поиск по тексту и общие команды сохранения, записи изменений, отмены изменений и выхода из файла. Поиск в редакторе vi работает следующим образом. Ставим курсор в то место от куда будет начинаться поиск. Поиск идет сверху вниз. Нажимаем клавишу / и набираем то слово, которое мы будем искать, нажимаем Enter. Редактор осуществляет поиск. На картинке ниже можно посмотреть, как осуществлялся поиск текста AS IS. Для того, чтобы продолжился поиск, достаточно нажать n. Чтобы запустить поиск в обратном направлении можно нажать клавишу N. Чтобы перейти в командный режим ставим :. Чтобы отменить все изменения :e!, где восклицательный знак говорит о том , что игнорировать все предупреждения. Если мы изменяли документ и в какой то момент нам необходимо сохранить все текущие изменения мы набираем :w!. Если мы осуществляли правку и захотели сохранить документ под другим именем, то можно использовать :w newfilename. Для выхода из файла используем :q. Ну или как в табличке выше было написано, используем в командном режиме ZZ или ZQ.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59