По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Мы продолжим рассмотрение вопроса об устранении неполадок в объявлениях о маршрутах BGP. Все маршрутизаторы будут иметь рабочие соседние узлы BGP.
Рекомендуем также почитать первую часть статьи по траблшутингу протокола BGP.
Видео: Основы BGP за 7 минут
Урок 1
Новый сценарий. R1 и R2 находятся в разных автономных системах. Мы пытаемся объявить сеть 1.1.1.0 / 24 от R1 до R2, но она не отображается на R2. Вот конфигурации:
На первый взгляд, здесь все в порядке.
Однако R2 не узнал никаких префиксов от R1
Может быть, используется distribute-list. Но нет, это не тот случай. Это означает, что нам придется проверять наши все команды network.
Проблема заключается в команде network. Она настраивается по-разному для BGP и нашего IGP. Если мы применяем команду network для BGP, она должна быть полной. В этом случае забыли добавить маску подсети
R1(config)#router bgp 1
R1(config-router)#network 1.1.1.0 mask 255.255.255.0
Мы должны убедиться, что ввели правильную маску подсети.
Итак, видно, что мы узнали префикс, и R2 устанавливает его в таблицу маршрутизации ... проблема решена!
Итог урока: введите правильную маску подсети ... BGP требователен!
Урок 2
Давайте перейдем к следующей проблеме. Системный администратор из AS1 хочет объявить summary в AS 2. Системный администратор из AS 2 жалуется, однако, что он ничего не получает..., давайте, выясним, что происходит не так!
Вот конфигурация. Вы можете увидеть команду aggregate-address на R1 для сети 172.16.0.0 / 16.
Жаль ... префиксы не были получены R2. Здесь мы можем проверить две вещи:
Проверьте, не блокирует ли distribute-list префиксы, как это мы сделали в предыдущем занятии.
Посмотрите, что R1 имеет в своей таблице маршрутизации (Правило: "не могу объявлять то, чего у меня нет!").
Давайте начнем с таблицы маршрутизации R1. Из предыдущих уроков вы знаете, как выглядит distribute-list.
Здесь нет ничего, что выглядело бы даже близко к 172.16.0.0 /16. Если мы хотим объявить summary, мы должны сначала поместить что-то в таблицу маршрутизации R1. Рассмотрим различные варианты:
R1(config)#interface loopback 0
R1(config-if)#ip address 172.16.0.1 255.255.255.0
R1(config-if)#exit
R1(config)#router bgp 1
R1(config-router)#network 172.16.0.0 mask 255.255.255.0
Это вариант 1. Создам интерфейс loopback0 и настроим IP-адрес, который попадает в диапазон команды aggregate-address.
Теперь мы видим summary в таблице маршрутизации R2. По умолчанию он все равно будет объявлять другие префиксы. Если вы не хотите этого, вам нужно использовать команду aggregate-address summaryonly!
Второй вариант объявления summary:
R1(config)#ip route 172.16.0.0 255.255.0.0 null 0
R1(config)#router bgp 1
R1(config-router)#network 172.16.0.0 mask 255.255.0.0
Сначала мы поместим сеть 172.16.0.0 / 16 в таблицу маршрутизации, создав статический маршрут и указав его на интерфейсе null0. Во-вторых, будем использовать команду network для BGP для объявления этой сети.
Итог урока: Вы не можете объявлять то, чего у вас нет. Создайте статический маршрут и укажите его на интерфейсе null0, чтобы создать loopback интерфейс с префиксом, который попадает в диапазон суммарных адресов.
Урок 3
Следующая проблема. Вы работаете системным администратором в AS 1, и однажды получаете телефонный звонок от системного администратора AS 2, который интересуется у вас, почему вы публикуете сводку для 1.0.0.0 / 8. Вы понятия не имеете, о чем, он говорит, поэтому решаете проверить свой роутер.
Это то, что видит системный администратор на R2.
Мы видим, что у нас есть сеть 1.0.0.0 / 8 в таблице BGP на R1. Давайте проверим его таблицу маршрутизации.
Сеть 1.1.1.0 / 24 настроена на loopback интерфейс, но она находится в таблице BGP как 1.0.0.0 / 8. Это может означать только одну вещь ... суммирование.
Беглый взгляд на выводы команды show ip protocols показывает, что автоматическое суммирование включено. Отключим это:
R1(config)#router bgp 1
R1(config-router)#no auto-summary
Мы отключим его на R1.
Теперь мы видим 1.1.1.0 / 24 на R2 ... проблема решена!
Итог урока: если вы видите classful сети в своей таблице BGP, возможно, вы включили автоматическое суммирование.
Некоторые из проблем, которые были рассмотрены, можно легко решить, просто посмотрев и/или сравнив результаты команды "show run". И это правда, но имейте в виду, что у вас не всегда есть доступ ко ВСЕМ маршрутизаторам в сети, поэтому, возможно, нет способа сравнить конфигурации. Между устройствами, на которых вы пытаетесь устранить неисправности или которые вызывают проблемы, может быть коммутатор или другой маршрутизатор. Использование соответствующих команд show и debug покажет вам, что именно делает ваш маршрутизатор и что он сообщает другим маршрутизаторам.
Урок 4
Та же топология, другая проблема. Персонал из AS 2 жалуются, что они ничего не получают от AS 1. Для усложнения проблемы, конфигурация не будет показана.
Для начала, мы видим, что R2 не получает никаких префиксов.
Так же можем убедиться, что R1 не имеет каких-либо distribute-lists.
Мы видим, что R1 действительно имеет сеть 1.1.1.0 /24 в своей таблице маршрутизации, так почему же он не объявляет ее в R2?
Давайте посмотрим, может на R1 есть какие-то особенные настройки для своего соседа R2:
Будем использовать команду show ip bgp neighbors, чтобы увидеть подробную информацию о R2. Мы видим, что route-map была применена к R2 и называется "NEIGHBORS". Имейте в виду, что помимо distribute-lists мы можем использовать также route-map для фильтрации BGP.
Существует только оператор соответствия для prefix-list "PREFIXES".
Вот наш нарушитель спокойствия ... он запрещает сеть 1.1.1.0 / 24!
R1(config)#router bgp 1
R1(config-router)#no neighbor 192.168.12.2 route-map NEIGHBORS out
Удалим route-map
И наконец R2 узнал об этом префиксе ... проблема решена!
Итог урока: убедитесь, что нет route-map, блокирующих объявление префиксов.
BGP иногда может быть очень медленным, особенно когда вы ждете результатов, когда вы работаете на тестовом или лабораторном оборудовании. "Clear ip bgp *" - это хороший способ ускорить его ... просто не делайте этого на маршрутизаторах в производственной сети)
Урок 5
Наконец, третий участник выходит на арену, чтобы продемонстрировать новую проблему. R1-это объявляемая сеть 1.1.1.0 / 24, но R3 не изучает эту сеть. Здесь представлены конфигураций:
Соседство настроено, R1 - объявляемая сеть 1.1.1.0 / 24.
R3#show ip route bgp
Мы можем видеть сеть 1.1.1.0 / 24 в таблице маршрутизации R2, но она не отображается на R3.
Технически проблем нет. Если вы внимательно посмотрите на конфигурацию BGP всех трех маршрутизаторов, то увидите, что существует только соседство BGP между R1 и R2 и между R2 и R3. Из-за split horizon IBGP R2 не пересылает сеть 1.1.1.0 / 24 в направлении R3. Чтобы это исправить, нам нужно настроить R1 и R3, чтобы они стали соседями.
R1(config)#ip route 192.168.23.3 255.255.255.255 192.168.12.2
R3(config)#ip route 192.168.12.1 255.255.255.255 192.168.23.2
Если мы собираемся настроить соседство BGP между R1 и R3, нам нужно убедиться, что они могут достигать друг друга. Мы можем использовать статическую маршрутизацию или IGP ... чтобы упростить задачу, на этот раз мы будем использовать статический маршрут.
R1(config)#router bgp 1
R1(config-router)#neighbor 192.168.23.3 remote-as 1
R3(config)#router bgp 1
R3(config-router)#neighbor 192.168.12.1 remote-as 1
Примените правильные настройки команды neighbor BGP.
И R3 имеет доступ к сети 1.1.1.0 / 24!
Итог урока: соседство по IBGP должно быть полным циклом! Другим решением было бы использование route-reflector или confederation.
Урок 6
Очередная проблема. R3 является объявляемой сетью 3.3.3.0 / 24 через EBGP, а R2 устанавливает ее в таблицу маршрутизации. R1, однако, не имеет этой сети в своей таблице маршрутизации. Вот конфигурации:
Вот конфигурации. Для простоты мы используем IP-адреса физического интерфейса для настройки соседей BGP.
Мы можем проверить, что сеть 3.3.3.0 / 24 находится в таблице маршрутизации R2.
R1#show ip route bgp
Однако в таблице маршрутизации R1 ничего нет. Первое, что мы должны проверить - это таблицу BGP.
Мы видим, что он находится в таблице BGP, и * указывает, что это допустимый маршрут. Однако мы не видим символа >, который указывает лучший путь. По какой-то причине BGP не может установить эту запись в таблице маршрутизации. Внимательно посмотрите на следующий IP-адрес прыжка (192.168.23.3). Доступен ли этот IP-адрес?
R1 понятия не имеет, как достичь 192.168.23.3, поэтому наш следующий прыжок недостижим. Есть два способа, как мы можем справиться с этой проблемой:
Используйте статический маршрут или IGP, чтобы сделать этот next hop IP-адрес доступным.
Измените next hop IP-адрес.
Мы изменим IP-адрес следующего прыжка, так как мы достаточно изучили применение статических маршрутов и IGPs.
R2(config)#router bgp 1
R2(config-router)#neighbor 192.168.12.1 next-hop-self
Эта команда изменит IP-адрес следующего перехода на IP-адрес R2.
Теперь мы видим символ >, который указывает, что этот путь был выбран как лучший. IP-адрес следующего перехода теперь 192.168.12.2.
Ура! Теперь он есть в таблице маршрутизации. Мы уже закончили? Если наша цель состояла в том, чтобы она отобразилась в таблице маршрутизации, то мы закончили...однако есть еще одна проблема.
Наш пинг не удался. R1 и R2 оба имеют сеть 3.3.3.0 / 24 в своей таблице маршрутизации, поэтому мы знаем, что они знают, куда пересылать IP-пакеты.
Давайте взглянем на R3:
R3 получит IP-пакет с пунктом назначения 3.3.3.3 и источником 192.168.12.1. Из таблицы маршрутизации видно, что она не знает, куда отправлять IP-пакеты, предназначенные для 192.168.12.1. Исправим это:
R2(config)#router bgp 1
R2(config-router)#network 192.168.12.0 mask 255.255.255.0
Мы будем объявлять сеть 192.168.12.0 / 24 на R2.
Теперь R3 знает, куда отправлять трафик для 192.168.12.0 / 24.
Проблема устранена!
Итог урока: убедитесь, что IP-адрес следующего перехода доступен, чтобы маршруты могли быть установлены в таблице маршрутизации, и чтобы все необходимые сети были достижимы.
Что такое антивирусная защита? Примеры решений
Антивирусная защита (AV-защита) компаний призвана обеспечить безопасность данных, составляющих коммерческую тайну, а также всех остальных, хранящихся и используемых в корпоративной компьютерной сети и извне нее, но имеющих отношение к организации.
Важно учитывать, что если пользовательские антивирусы в основном отражают атаки вирусов, распространяющихся автоматически сразу на всех, то коммерческий AV-продукт уже должен "уметь" отражать индивидуальные несанкционированные попытки завладения информацией. Если злоумышленникам нет особого смысла стараться проникнуть на частный компьютер, то на компьютерную сеть организации уже вполне может быть предпринято серьезное вторжение по чисто коммерческим соображениям. И, чем выше капитализация компании, тем лучше должна быть AV-защита.
Если частное лицо задается вопросом "платить за антивирус, или не платить", то даже для малого бизнеса такой вариант неприемлем, так как компьютеры там работают не только с информацией, но и с электронными деньгами. В случае вирусной атаки убытки будут слишком значительными.
От корпоративного и "гражданского" антивируса требуются различные задачи. Например, продукт для простого пользователя должен "уметь" инсталлироваться на зараженный компьютер. То есть, когда вирус уже сработал, и пользователь "спохватился" об установке антивируса. Такая типичная для простого человека ситуация не должна происходить в организации. Там всегда установлен тот или иной антивирусный софт, который обязан постоянно обновляться. При этом от корпоративного антивируса сохраняется требование сложной задачи - "лечение" зараженной системы с восстановлением большого количества файлов. Корпоративный продукт отличается, он гораздо сложнее и стоит дороже пользовательского.
Виды угроз
Компьютерный вирус - вредоносная программа, обладающая свойствами распространения, (аналогия с распространяющимися биологическими вирусами). Термин "вирус" применяют и к другим рукотворным объектам информационной среды, например "вирусные" рекламные ролики, информационные вбросы, фейки. Цели разработки компьютерных вирусов различные. Первоначально они возникли как любительские изыскания, затем перешли на серьезную коммерческую основу с появлением электронных денег, так как появилась прямая возможность их (деньги) похитить. Сейчас индустрия антивирусных программ защищает не только личные, коммерческие, но и корпоративные и государственные интересы.
Но "вирус" - это несколько устаревшее название, которое, тем не менее, до сих пор крайне популярно в непрофессиональных кругах. Подробнее почитать про другие типы вредоносов можно почитать в другой нашей статье: https://wiki.merionet.ru/seti/19/tipy-vredonosnogo-po/
Антивирусные базы - основы антивирусов
Сигнатурный анализ невозможен без базы вирусов, которая содержит все опасные образцы кода. При этом нет никакой необходимости включать в базу буквально все, иначе она будет иметь слишком большой объем, и сравнение с ней затребует значительной вычислительной мощности. Достаточно добавить лишь те фрагменты кода, без которых создание программы, имеющей свойство самостоятельно распространяться (вируса), невозможно. Сигнатурный анализ повсеместно используется в антивирусном ПО, и сейчас переходит в интернет среду для анализа трафика на провайдерах.
База антивируса содержит не образцы вирусов, а сигнатуры - фрагменты кода, общие для многих вредоносных программ. Чем больше сигнатур содержит база - тем лучше защита, а чем меньше ее объем в байтах - тем меньше системных ресурсов потребляет антивирус.
Рейтинг AV-защиты от различных разработчиков
Идеальный антивирус обеспечивает 100% защиту, потребляет ноль ресурсов и имеет ноль ложных срабатываний. Такого программного продукта не существует ни у одной компании в мире. К нему приближаются отдельные разработки, в различной степени и на основе чего составляются рейтинги. Но помните: кто обещает вам 100% гарантию защиты - эти люди просто напросто лукавят.
Для антивирусов важны объективные и независимые тесты надежности. Показатель защиты должен сопоставляться с потребляемой вычислительной мощностью, которая хотя и становится все более значительной, но не бесконечна. Вряд ли кому будут нужны антивирусы, сильно замедляющие работу компьютеров. Антивирусное ПО разрабатывается для различного железа: офисные компьютеры, мобильные устройства, специальное оборудование, например, медицинская техника, терминалы POS, промышленные компьютеры. В защите нуждается абсолютно все. Основные организации, тестирующие софт для AV-защиты и составляющие рейтинги и рекомендации:
AV-Test.
ICRT (Международная Ассамблея Потребительских Испытаний).
Лаборатория Касперского.
Роскачество.
AV-тест критически оценен лабораторией Касперского, которая официально призывает не доверять его сертификатам. Другие организации из этого списка отрицательных оценок в публичном поле не получали.
Эволюция антивирусов, что изменилось с начала 21 века?
Самые первые антивирусы, появившиеся еще в 90-х годах, использовали только сигнатурный анализ. Количество всех известных вредоносных программ на то время было невелико, и их всех можно было занести в базу. Критерий защиты был простой - кто больше вирусов "знает", тот и лучше. Операционные системы того времени (на начало 2000-х годов) не обновлялись так часто, как сейчас, и поэтому имеющиеся уязвимости держались долго, что и использовалось многочисленными хакерскими группировками. Незначительное распространение вирусов при весьма слабых антивирусах связывалось с отсутствием прямой коммерческой заинтересованности. То есть автор вируса не получал денег напрямую от проводимых атак с помощью своего детища. С распространением электронных денег (и криптовалют в особенности), ситуация в корне поменялась.
После 2010 года антивирусы дополнились облачными технологиями, причем облако может быть не только файловым хранилищем, но еще и аналитическим центром по отслеживанию всех кибератак в мире, что чрезвычайно важно для их пресечения.
Чисто сигнатурный подход уже не актуален, так как производство компьютерных вирусов поставлено хакерскими группировками на поток. Их появляются тысячи в день.
Последней новинкой в антивирусной индустрии являются алгоритмы машинного обучения вкупе с облачными технологиями big-data. Именно такое решение предлагается в сегменте корпоративной AV-защиты. Защита от кибератак переходит на надгосударственный уровень. Появляются ассоциации кибербезопасности. Особенность современных антивирусов - кроссплатформенность и наличие версий для защиты специализированного оборудования, например терминалов POS, банкоматов, критических объектов "интернета вещей". Железо в этих устройствах имеет очень небольшую вычислительную мощность, что учитывается при разработке защитного ПО для них.
Пример решения: Microsoft Defender Antivirus
Программное обеспечение от Microsoft лицензировано для применения во многих организациях, в том числе и в ряде компаний государственного сектора. Факт почти повсеместного доверия к ПО этого гиганта IT-индустрии упрощает регистрацию антивирусов в организации. Microsoft Defender Antivirus при тестировании в лаборатории AV-Comparatives (коммерческие версии) уверенно справляется с банковскими троянами MRG-Effitas.
Встроенный "защитник Windows 10" (пользовательское название Microsoft Defender Antivirus) стал корпоративным антивирусом лишь недавно. Ранее в его лицензионном соглашении стояла рекомендация "только для частного применения" и лицензия не позволяла его применять не по назначению. С изменением правил он стал чуть ли не единственным бесплатным коммерческим антивирусом. Правда, пока что только для мелкого бизнеса с числом рабочих станций не более 10.
Решения Лаборатории Касперского для крупного бизнеса
Крупному бизнесу приходится сталкиваться с угрозами иного уровня, чем частым лицам и мелким компаниям. В профессиональной среде это отмечается термином "целевые атаки", которые проводятся именно на крупный бизнес во всех странах мира. С целью защиты от них задействуются технологии машинного обучения, облачные данные и весь предыдущий опыт, в который входят десятки тысяч отраженных угроз, постоянный учет и коррекция ошибок. Корпоративные продукты от Касперского используют более 270000 компаний по всему миру. Примеры решений AV-защиты от всем известной компании:
Kaspersky Atni Targeted Attack (Основной антивирусный продукт для крупного бизнеса, помимо стандартных функций безопасности нацелен на выявление ранее неизвестных атак, где не походит сигнатурный метод).
Kaspersky Endpoint Detection and Response ("внутренний" антивирус для обнаружения и пресечения инцидентов на местах внутри корпорации, а не интернета извне).
Kaspersky Embedded Systems Security (для банкоматов и POS-терминалов с учетом требований их маломощного "железа").
Пример решения: ESET NOD32 Antivirus Business Edition
Типовой антивирус для малого бизнеса. Использует технологии облачной защиты - подключение к ESET Live Grid с динамически обновляемыми базами и своевременными оповещениями о киберугрозах со всего мира, что ставит его на один уровень с передовыми продуктами Касперского. ESET NOD32 Antivirus Business Edition не работает на мобильных устройствах, поэтому подходит преимущественно для офисов со стандартными рабочими станциями. Корпорация ESET имеет хорошую репутацию, а тысячи компаний - значительный положительный опыт использования ее продукции.
Заключение
Антивирусная защита постоянно совершенствуется по мере роста IT-технологий. В нее вкладываются значительные инвестиции, так как любая организация вне зависимости от своего масштаба заинтересована в кибербезопасности. AV-защита проводится в комплексе с другими технологиями и правилами информационной безопасности - то есть используется "эшелонированный" подход - на периметре сети устанавливается межсетевой экран следующего поколения с включенной системой предотвращения угроз, отдельно защищается электронная почта и доступ в интернет, все подозрительные файлы отправляются в песочницу и пр. Таким образом, система защиты становится похожа на луковицу - тем, что у нее также много слоев, и из-за этого преодолеть ее становится сложнее.
Кроме того, очень популярна практика установки на предприятиях устанавливается система DLP, отслеживающая попытки несанкционированного доступа и неправильного использования данных. Сотрудники проходят тренинги, обучение "цифровой гигиене", правилам защиты коммерческой тайны. Все используемое программное обеспечение должно быть лицензионным, где разработчики ради сохранения репутации гарантирует сохранность данных. Сервера снабжаются функцией резервного копирования, доступ к информации обеспечивается только для проверенных лиц, что обеспечивается системой СКУД.
Привет! Для удобства, мы структурировали все материалы по графическому интерфейсу FreePBX в нашей базе знаний в единый файл. Само собой, нами был выбран многофункциональный формат для хранения и распространения электронных публикаций - PDF. Получившееся руководство администратора FreePBX можно получить по ссылке ниже:
Скачать