По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Привет, мир! Говорим о том, что такое IP - адрес. Вообще, IP расшифровывается как Internet Protocol, но поверьте нам, даже в профессиональной среде, аббревиатуру не расшифровывает никто. IPшник, адрес, АйПи, ИПЭ, как угодно, но не INTERNET PROTOCOL. Погнали разбираться - вот вам пример из реальной жизни: Если нам нужно отправить письмо, то на конверте нужно указать куда его нужно отправить и от кого, приклеить марки, сходить на почту и постоять в очереди - без этого ничего не выйдет. C IP адресом все так же - это адрес компьютера, сервера или любой другой активной сетевой железки. Чтобы общаться с другими компьютерами и серверами нужно чтобы у него был уникальный идентификатор, чтобы понять, куда нужно слать данные, и как их получить обратно. Например, мы хотим зайти на сайт. Для этого нам нужно отправить письмо сайту, и сказать, что нам нужна его главная страница. Сайт получит это письмо, и вышлет нам страничку по адресу, указанному на конверте в поле отправитель. Видеопособие Почему он так странно выглядит? Компьютеры общаются нулями и единицами, которые называются битами. И на самом деле этот адрес выглядит как строка из 32 нулей и единиц. Нет - нет, именно так. Представьте себе комбинацию нулей и единиц - это двоичная система. Двоичная, потому что есть значения 1 и 0. И все, больше никаких. Авторы адресации подумали и поняли, что ввод 32 единиц и нулей мог бы привести к панической атаке системного администратора, и было принято решение переводить его в десятичную систему. Так же решили разбить это длинное число на 4 части, поставив 3 точки и в итоге мы получили 4 числа от 0 до 255, с которыми гораздо проще работать. Возможно, вы где - то видели IP адреса, которые длиннее и содержат в себе буквы. Это что тоже айпи адрес? Да, это тоже адрес, только другой версии. То, что мы уже обсудили - называется IPv4. То есть IP 4ой версии (да - да, они еще и по версии отличаются). С этой версий есть одна проблема - всего может существовать 4 294 967 296 адресов, что не хватит для всех устройств, особенно сейчас, когда адрес может быть даже у холодильника. Здесь уже мы используем число из 128 бит которое делим на 8 частей при помощи двоеточий и переводим их в шестнадцатеричную систему счисления, опять же для удобства. Это IPv6, то есть IP 6 версии. Принцип работы остается тем же, а адресов теперь доступно 10 в 28 степени: 79 228 162 514 264 337 593 543 950 336 (cемьдесят девять окталионов двести двадцать восемь септилионов сто шестьдесят два секстилиона пятьсот четырнадцать квинтиллионов двести шестьдесят четыре квадриллиона триста тридцать семь триллионов пятьсот девяносто три миллиарда пятьсот сорок три миллиона девятьсот пятьдесят тысяч триста тридцать шесть. Этого пока должно хватить. В чем разница между статическим и динамическим адресом? Она вытекает из названия - статический адрес не меняется у компьютера и всегда остается одним и тем же, в то время как динамический назначается на определенное время, затем заменяется другим. Зачем это нужно? Дело в том, что если вам нужно попасть на сайт, вам нужно знать его адрес, и если он изменится, то мы не можем его найти. Для этого нужны статические адреса. А вам, как посетителю сайта статический адрес не нужен, подойдет динамический, который вы напишете на конверте в поле отправителя. Так же можно называть IP адреса внутренними и внешними. В чем тут дело. Как мы уже знаем, в IPv4 у нас ограниченное количество адресов - на всех не хватает. А так еще в интернете нельзя иметь два одинаковых адреса, ведь в таком случае нельзя будет однозначно понять кому передавать данные. Но как дать возможность выходить в интернет всем, кто захочет? Переходить на 6 версию? Можно, но это дорого и долго. Тут нам на помощь приходит технология NAT - Network Address Translation, а точнее ее надстройка PAT - Port address translation, суть которой в том, что много устройств могут выходить в интернет с одним и тем же адресом. Но как такое возможно, если мы сказали что нельзя иметь два одинаковых адреса? Суть в том, что у вас есть ваш внутренний адрес, который выдает провайдер, с которым вы находитесь внутри локальной сети, а есть внешний адрес, который провайдер вам дает для выхода в интернет. И основная идея заключается в том, что несмотря на то, что у вас и у других пользователей одинаковые адреса, их можно отличить, благодаря тому, что к адресу добавляется порт, это уникальное значение после двоеточия, которое присваивает провайдер и которое является дополнительным идентификатором, позволяющим различать адреса. Это позволяет решать проблему с нехваткой адресов, и является дополнительным слоем безопасности. Могут ли вас вычислить по IP? Так что насчет вычисления по айпи? Стоит ли беспокоиться по поводу высказываний вашего оппонента в онлайн игре, который уверяет что у него есть брат программист, который сможет вас идентифицировать и найти? Не стоит. Ведь этот айпи адрес нужно сначала найти, но это будет внешний адрес, который есть у тысяч других компьютеров, а сопоставить внешний и внутренний адрес может только провайдер. Кстати, знаешь какой у тебя IP - адрес? А мы знаем 😇 Кликай по ссылке ниже, чтобы тоже узнать 👇 Узнать мой IP
img
Когда администратор является единственным администратором АТС, то проблем с выяснением причин кто и что сломал не возникает, так как административный аккаунт один и им пользуется только один человек. А вот когда администраторов много, да ещё необходимо разграничивать права доступа в зависимости от выполняемых обязанностей, тогда как раз и встает вопрос о персональных аккаунтах для администраторов. Для этого можно создавать как персональные профайлы (под единичные доступы), так и групповые (например, для сотрудников, выполняющих ограниченные функции – проверка состояния транков, создание абонентов, настройка Call Center и так далее). Стоит заметить, что первые 19 профайлов являются системными и их менять или удалять не стоит. Для новых профайлов следует использовать номера с 20. Выполнение в терминале или консоли GEDI Для начала надо создать новый профайл командой: add user-profile-by-category НОМЕР или add user-profile НОМЕР В открывшемся окне выставляем параметры, которые нам необходимы. User Profile Name – имя профайла. Служит для идентификации уровня доступа (имя пользователя или имя группы пользователей, для которых и создается данный профайл). Shell Access? – разрешен ли данному профайлу доступ в командную строку системы В терминале это выглядит так: А в консоли GEDI это будет немного поудобнее, тем более, что выставление параметров можно выполнять при помощи мыши, при этом по нажатию правой кнопки показывается подсказка по значениям в конкретном поле: На первой странице выставляются общие (групповые для функций) права на доступ. Более детальные разрешения выставляются на последующих страницах. Однако без выставления прав на группу нельзя выставить права на функцию, входящую в эту группу. Например, нельзя разрешить настраивать абонентов или транки, не разрешив при этом группу Maintenance (G) на первой странице. Но можно разрешить доступ только к абонентам, но запретив доступ к транкам. Чтобы не открывать все группы, можно найти необходимую функцию, посмотреть в какую группу (категорию) входит данная функция и на первой странице разрешить именно эту группу. Разрешение r позволяет только просматривать без возможности создания или внесение изменений в настройки. Разрешение w дополнительно позволяет ещё и создавать, изменять и удалять настройки. Разрешение m позволяет выполнять дополнительные действия по обслуживанию (трассировки, включение/выключение абонентов или транков и так далее) Обычно создают профайл для полного доступа администраторов (с включением всех групп (категорий) и правами доступа wm) и профайлы с ограниченным доступом для других пользователей, выполняющих некоторое задачи (например, 1-линия для создания абонентов, служба мониторинга для просмотра статусов абонентов или транков и так далее). После установки всей настроек сохраняем настройки путем нажатия F3 в терминале или Enter (F3) в консоли GEDI. Выполняется в web-браузере Подключаемся к Avaya Communication Manager по IP-адресу, заходим под учетной записью dadmin (если она у нас единственная) или под учетной записью «полного» администратора (если ранее был создан такой аккаунт). Далее Administration → Server (Maintenace) → Security → Administrator Accounts → Add Login и создаем уже сами аккаунты: Сначала выбираем уровень доступа. В зависимости от выбранного уровня предоставляются разные права, не настраиваемые в профайле. Вот пример предоставляемых прав для 2-х администраторов: Для уровня «полного» администратора выбираем Privileged Administrator. Login name – создаваемый логин, по которому будет осуществляться авторизация. Additional groups (profile) – в выпадающем списке выбираем созданный ранее профайл. Enter password or key – вводим пароль для входа. Re-enter password or key – подтверждаем введенный ранее пароль. Как правило пользователь должен сам создавать и помнить свои пароли, поэтому Force password/key change on next login – отмечаем в Yes. Тогда при первом входе пользователю будет предложено для продолжения работы сменить пароль на новый. Далее подтверждаем введенные данные Submit. Для добавления доступа к Web-настройкам созданный ранее профайл надо добавить через Administration → Server (Maintenace) → Security → Web Access Mask. Нажимаем Add, потом вводим номер нашего созданного профайла и выбираем какую маску доступа будем применять или сразу будем применять все включено/выключено. После сохранения убеждаемся, что вновь добавленная маска применилась, выбираем её, заходим в нее нажав Change и проверяем/добавляем/удаляем необходимые настройки. Далее заходим под созданной учетной записью и проверяем уровень доступа по доступным командам. После проверки полного доступа рекомендуется сменить пароль для учетной записи dadmin и не выдавать этот логин никому. Дальше в логах на СМ мы можем просмотреть историю входов, введенных команд и выполненных действий по каждому логину.
img
В этой статье произведем настройку туннеля IPSec между Palo Alto и Cisco ASA Firewall. Далее будет использован брандмауэр Palo Alto с прошивкой PANOS 8.1.10. Хотя, конфигурация почти такая же и в других версиях PANOS. Для понимания этой статьи вам необходимы базовые знания по IPSec VPN. Для настройки этой конфигурации вам не нужна дополнительная лицензия на обоих устройствах. Для настройки туннеля IPSec необходимо иметь статический маршрутизируемый IP- адрес. Итак, давайте начнем настройку! Как настроить IPSec VPN между Cisco ASA и брандмауэром Palo Alto Что нужно сделать - настроить туннель IPSec между Cisco ASA и брандмауэром Palo Alto Как выше говорилось, вам понадобиться статический маршрутизируемый IP-адрес как в Palo Alto, так и в брандмауэре Cisco ASA. В этом примере я использую два маршрутизируемых IP- адреса на обоих брандмауэрах Palo Alto и Cisco ASA (между ними настроена связь, и они доступны друг другу). IP-адрес 1.1.1.1 настроен на брандмауэре Cisco ASA и 2.2.2.2 настроен на брандмауэре Palo Alto как показано ниже: Как вы заметили, подсеть LAN 192.168.1.0/24 связана с Cisco ASA, а с другой стороны, подсеть LAN 192.168.2.0/24 связана с брандмауэром Palo Alto. Прежде чем перейти к части конфигурации, просто проверьте доступность обоих устройств с помощью утилиты ping. admin@PA-220> ping host 1.1.1.1 PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data 64 bytes from 1.1.1.1: icmp_seq1 ttl=64 time=0.177 ms 64 bytes from 1.1.1.1: icmp_seq2 ttl=64 time=0.157 ms Шаги по настройке туннеля IPSec на брандмауэре Palo Alto Во-первых, мы настроим туннель IPSec на брандмауэре Palo Alto. Для настройки фазы 1 и фазы 2 туннеля IPSec в Palo Alto необходимо выполнить следующие действия. Создание зоны безопасности на брандмауэре Palo Alto Во-первых, нам нужно создать отдельную зону безопасности на брандмауэре Palo Alto. Для того чтобы настроить зону безопасности, вам нужно перейти Network >> Zones>> Add. Здесь вам нужно указать название зоны безопасности. Вы можете ввести любое удобное имя. Создание туннельного интерфейса на брандмауэре Palo Alto Вам необходимо определить отдельный виртуальный туннельный интерфейс для туннеля IPSec. Чтобы определить интерфейс туннеля, перейдите в раздел Network >> Interfaces>> Tunnel. Выберите виртуальный маршрутизатор, который в моем случае используется по умолчанию. Кроме того, в файле зоны безопасности необходимо выбрать зону безопасности, определенную на Шаге 1. Хотя для этого интерфейса вам не нужно указывать IP-адрес IPv4 или IPv6. Кроме того, вы можете прикрепить профиль управления на вкладке Advanced, если вам это нужно. Определение IKE Crypto Profile [Фаза 1 туннеля IPSec] Теперь вам нужно определить фазу 1 туннеля IPSec. Вам нужно зайти Network >> Network Profiles >> IKE Crypto >> Add. Здесь вам нужно дать дружественное имя для IKE Crypto profile. Затем определите DH группу, метод шифрования и аутентификации. По умолчанию срок службы ключа составляет 8 часов. Вы можете изменить его в соответствии с вашим требованием. Определение Crypto Profile IPSec [Фаза 2 туннеля IPSec] Теперь вам нужно определить фазу 2 туннеля IPSec. Вам нужно перейти Network>> Network Profiles >> IPSec Crypto >> Add. Здесь, вы должны дать понятное имя для профиля шифрования по протоколу IPSec. Выберите протокол IPsec в соответствии с вашими требованиями. У вас есть ESP (Encapsulation Security Protocol) и AH (Authentication Header) протокол для IPSec. Затем определите группу DH, метод шифрования и аутентификации. По умолчанию срок службы ключа составляет 1 час. Вы можете изменить его в соответствии с вашим требованием. Определение профиля шлюза IKE Теперь вам нужно перейти Network >> Network Profiles >> IKE Gateways >> Add. На вкладке Общие (General) необходимо определить имя профиля шлюза IKE. В поле Interface вам нужно ввести/определить свой интернет-интерфейс, в моем случае ethernet1/1, который имеет IP-адрес 2.2.2.2. Установите переключатель в поле Peer IP Address Type в IP. Укажите адрес в поле Peer address, в моем случае 1.1.1.1. Выберите метод аутентификации в поле Authentication, т. е. выберите или общий ключ (Pre Shared Key) или сертификат (Certificate). В этом сценарии я использую предварительный общий ключ (Pre-shared Key). Затем определите предварительный общий ключ (Pre-shared Key) и запишите его, потому что он нужен для определения в FortiGate Firewall. Введите в поля Local Identification и Peer Identification локальный и удаленный IP-адреса. Нажмите на Advanced Option, в IKEv1 выберите Ike Crypto Profile, который определяется на Шаге 3. Создание туннеля IPSec Мы определили шлюз IKE и IPSec Crypto profile для нашего туннеля IPSec. Теперь мы должны определить туннель IPSec. Перейдите в раздел Network >> IPSec Tunnels >> Add. Определите удобное имя для туннеля IPSec. Затем выберите туннельный интерфейс, который определен в шаге 2. Выберите профили для Ike Gateway и IPsec Crypto Profile, которые определены в шаге 3 и шаге 5 соответственно. Перейдите на вкладку идентификаторы (IDs) прокси-серверов и определите локальные и удаленные сети. В этом сценарии я использую подсети 192.168.1.0/24 и 192.168.2.0/24 в LAN. Создание политики безопасности для туннельного трафика IPSec Теперь вам нужно создать профиль безопасности, который позволяет передавать трафик из зоны VPN в зону доверия. Вам нужно перейти Policies >> Security >> Add, чтобы определить новую политику. Настройка маршрута для одноранговой частной сети Теперь вам нужно предоставить статический маршрут для частной сети. Просто перейдите в раздел Network >> Virtual Routers >> Default >> Static Routes >> Add. Выберите имя для этого маршрута и определите целевую сеть для этого маршрута, т.е. 192.168.1.0/24 в данном примере. Выберите следующий переход к туннельному интерфейсу, который определен в шаге 2. Мы закончили настройку туннеля IPSec в брандмауэре Palo Alto. Теперь мы настроим туннель IPSec в FortiGate Firewall. Этапы настройки туннеля IPSec в брандмауэре Cisco ASA Теперь мы настроим туннель IPSec в брандмауэре Cisco ASA. Здесь, в этом примере, я использую программное обеспечение Cisco ASA версии 9.8 (1). Хотя конфигурация туннеля IPSec такая же и в других версиях. Ниже показаны основные шаги настройки IPSec на Cisco ASA: Настройка фазы 1 (IKEv1) Определение туннельной группы (Tunnel Group) и предварительного общего ключа (Pre-Shared Key) Настройка фазы 2 (IPSec) Настройка расширенного ACL (Extended ACL) и криптографической карты (Crypto Map) Итак, давайте начнем настройку с настройки фазы 1 Cisco ASA. Перейдите в режим глобальной конфигурации Cisco ASA и начните с приведенных ниже команд Настройка фазы 1 (IKEv1) на Cisco ASA ciscoasa(config)# crypto ikev1 enable outside ciscoasa(config)# crypto ikev1 policy 10 ciscoasa(config-ikev1-policy)# authentication pre-share ciscoasa(config-ikev1-policy)# encryption 3des ciscoasa(config-ikev1-policy)# hash md5 ciscoasa(config-ikev1-policy)# group 2 ciscoasa(config-ikev1-policy)# lifetime 7200 Теперь давайте быстро разберемся в значении каждой команды. Encryption: 3des – используется для шифрования трафика фазы 1 Хэш: md5 – это алгоритм хеширования. Он аутентифицирует наши данные с помощью хэша Group: 2 – Диффи Хеллман группа 2 Authentication – в этом примере мы используем предварительный общий ключ в качестве аутентификации Lifetime: 7200 – 86400 срок службы по умолчанию для Фазы 1 В Cisco ASA нам нужно включить криптографию IKEv1 к интерфейсу, обращенному к интернету. Итак, мы можем сделать это с помощью приведенной ниже команды: ciscoasa(config)# crypto ikev1 enable outside Настройка туннельной группы и предварительного общего ключа на Cisco ASA Теперь нам нужно определить туннельный интерфейс и предварительный общий ключ. В этой статье я использую сеть GNS3 в качестве предварительного общего ключа. ciscoasa(config)# tunnel-group 2.2.2.2 type ipsec-l2l ciscoasa(config)# tunnel-group 2.2.2.2 ipsec-attributes ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key GNS3Network Настройка IPSec IKEv1 (Фаза 2) Здесь нам нужно определить методы шифрования и аутентификации для IPSec Фазы 2 ciscoasa(config-ikev1-policy)# crypto ipsec ikev1 transform-set ESP-AES-SHA esp-3des esp-md5-hmac ciscoasa(config)# crypto ipsec security-association lifetime seconds 7200 А теперь давайте быстро разберемся в каждой команде. ESP: ESP означает инкапсулирование полезной нагрузки безопасности, и это протокол IPSec 3DES: 3DES – это один из алгоритмов шифрования MD5: MD5 – это алгоритм хеширования, который используется для поддержания целостности данных 7200 секунд: срок службы ключа IPSec Phase2 Настройка криптографической карты (Crypto MAP) и расширенного ACL (Extended ACL) для разрешения трафика IPSec на Cisco ASA Это заключительный этап нашей конфигурации. Здесь нам нужно определить расширенный ACL, чтобы разрешить трафик. Кроме того, здесь нам нужно настроить криптокарту и вызвать настроенную криптокарту на внешний интерфейс. Я настраиваю два адресных объекта для упрощения списка управления доступом (ACL). Адресный объект и расширенный ACL для разрешения трафика ciscoasa(config)# object-group network local-network ciscoasa(config-network-object-group)# network-object 192.168.1.0 255.255.255.0 ciscoasa(config-network-object-group)# object-group network remote-network ciscoasa(config-network-object-group)# network-object 192.168.2.0 255.255.255.0 ciscoasa(config-network-object-group)# access-list asa-paloalto-vpn extended permit ip object-group local-network object-group remote-network Настройка криптографической карты ciscoasa(config)# crypto map outside_map 10 match address asa-paloalto-vpn ciscoasa(config)# crypto map outside_map 10 set pfs group2 ciscoasa(config)# crypto map outside_map 10 set peer 2.2.2.2 ciscoasa(config)# crypto map outside_map 10 set ikev1 transform-set ESP-ASE-SHA Включение криптокарты на внешнем интерфейсе ciscoasa(config)# crypto map outside_map interface outside Инициирование туннеля IPSec и проверка трафика с помощью Wireshark На этом этапе мы просто должны инициировать трафик по туннелю IPSec. Если обе фазы туннеля IPSec работают, то ваша настройка идеальна. Итак, давайте получим доступ к CLI брандмауэра Palo Alto и инициируем туннель IPSec: admin@PA-VM>test vpn ipsec-sa admin@PA-VM>test vpn ipsec-sa Теперь давайте получим доступ к туннелям Device >> IPSec и проверим состояние только что созданного туннеля IPSec! Если оба фазовых туннеля находятся в состоянии UP, то они будут выглядеть так, как показано на рисунке ниже: А теперь давайте запустим трафик с одного из брандмауэров. Я инициирую движения в направлении Palo Alto межсетевой экран от Cisco ASA. ciscoasa# ping 192.168.2.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: ?!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 30/30/30 ms Первый пакет отбрасывается только из-за запроса и ответа ARP. Больше никакой пакет не будет отброшен. Необязательно: если вы пытаетесь инициировать трафик от IP интерфейса Cisco ASA (т.е. в данном примере), вам нужно разрешить доступ управления к подсети. ciscoasa(config)# management-access inside Устранение неполадок в туннеле IPSec В этой части этой статьи мы обсудим некоторые основные команды, которые помогут вам устранить неполадки туннеля IPSec, настроенного между Cisco ASA и маршрутизатором Cisco. Устранение неполадок туннеля IPSec на брандмауэре Cisco ASA ciscoasa# show running-config ipsec ciscoasa# show running-config crypto ikev1 ciscoasa# show running-config crypto map Устранение неполадок IPSec-туннель на брандмауэре Palo Alto Давайте откроем Monitor >> System и воспользуемся фильтром "(subtype eq vpn)". Здесь вы найдете все журналы, связанные с VPN. Если у вас возникли проблемы с туннелем IPSec, вы можете использовать следующие команды для запуска туннеля IPSec: admin@PA-CM>test vpn ipsec-sa admin@PA-CM>test vpn ipsec-sa Анализ трафика IPSec через Wireshark Во время настройки туннеля IPSec мы определили ESP (Encapsulating Security Payload) как протокол IPsec, поэтому весь реальный трафик, который идет к одноранговому концу, будет зашифрован с помощью этого протокола. Таким образом, вы найдете только ESP- пакеты в захвате пакетов, как показано ниже Резюме В этой статье мы настраиваем туннель IPSec между брандмауэром Cisco ASA и брандмауэром следующего поколения Palo Alto. Мы также обсудили алгоритмы шифрования и аутентификации. Однако для настройки IPSec VPN между двумя удаленными сетями необходимо использовать статические маршрутизируемые IP-адреса.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59