По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В наше время компьютерные сети получили широчайшее распространение. Сложно представить работу любого учреждения, в котором не было бы доступа в интернет или же локальной компьютерной сети. В последние годы все большие обороты набирает беспроводной доступ в интернет, однако в этой статье речь пойдет о старых добрых проводных соединениях. В частности о витой паре.
Это интересно - в профессиональной среде витую пару называют "патч - корд"
Что такое витая пара?
В народе так называют кабель связи, состоящий из пары (или нескольких пар) скрученных между собой проводов в единой оболочке. Чтобы связать устройства посредством этого кабеля, в большинстве современных устройств предусмотрены восьмиконтактные разъемы 8Р8С. В обиходе их часто называют RJ45, но это ошибочное именование, поскольку RJ45 это другой стандарт связи, со своим коннектором, не совместимым с 8Р8С, хотя и напоминающим последний внешним видом.
Однако, просто обжать коннекторы на концах кабеля это еще не все. Многие администраторы сетей сталкивались с проблемой, когда сигнал не проходит по проводу. В данном случае приходится вынимать из разъемов оба конца витой пары, и сверять порядок проводов между собой. И хорошо, если кабель короткий 3-5 метра. А если он проведен в другое помещение? Для избежания таких ситуаций и были введены стандарты так называемой распиновки витой пары.
Кабели витой пары имеют более десятка стандартов, однако на текущий момент ранние из них неактуальны по причине низкой скорости передачи данных. На текущий момент стандартная витая пара, используемая в большинстве сетевых устройств это 8 изолированных проводов, попарно свитых между собой и заключенных в общую оболочку. Для удобства распиновки каждый провод обозначается своим цветом (далее для иллюстрации схем распиновки используем сокращения):
бело-оранжевый (БО) оранжевый (О);
бело-зеленый (БЗ) зеленый (З);
бело-синий (БС) синий (С);
бело-коричневый (БК) коричневый (К;)
Типы соединений посредством витой пары также разнятся. Это могут быть как прямые соединения (например, для соединения IP-камеры с сервером или коммутатором), так и кросс-соединения (для соединения однотипных устройств, к примеру, чтобы связать ноутбук и компьютер), или консольные соединения (используются для настройки маршрутизатора с ПК, в основном, в оборудовании Cisco). Для каждого типа соединения важно использовать свои стандарты распиновки.
Типы соединений
Для прямых соединений обычно используется два стандарта. По стандарту TIA/EIA-568A распиновка будет следующей:
БЗ-З-БО-С-БС-О-БК-К
Для стандарта TIA/EIA-568B, используемого чаще, применим такой вариант:
БО-О-БЗ-С-БС-З-БК-К
Чтобы создать перекрестное (кросс) соединение, на одном конце кабеля порядок проводов будет таким:
БО-О-БЗ-С-БС-З-БК-К
А на другом таким:
БЗ-З-БО-С-БС-О-БК-К
Отметим, однако, что большинство современных сетевых устройств автоматически определяют метод обжима кабеля и подстраиваются под него, поэтому кросс-соединение в настоящее время утратило актуальность в пользу прямого.
Для консольного соединения необходимо обжимать провода в «зеркальном» порядке на обоих концах. Иными словами, на одном конце схема обжима будет выглядеть так:
БО-О-БЗ-С-БС-З-БК-К
А на другом так:
К-БК-З-БС-С-БЗ-О-БО
Несмотря на развитие в последние годы беспроводной передачи данных, проводные соединения обеспечивают более стабильную и быструю (в большинстве случаев) связь, что позволяет им быть актуальными до сих пор. Соблюдение стандартов распиновки позволит быстрее наладить соединение даже в крупных сетях, а также в будущем даст возможность быстрого устранения неполадок, связанных с выходом кабеля из строя, поскольку слабым местом витой пары обычно остаются соединения с коннекторами.
Параллельно с развитием технологий в сегменте корпоративных сетей повышаются риски компании понести убытки от уязвимостей в безопасности сети. Злоумышленники прибегают к кибер – атакам на сеть предприятия с целью получения и распространения важной коммерческой документации, нанесения урона ИТ – комплексам с целью вывода из строя или нанесении урона по имиджу и репутации компании.
Число зарегистрированных нарушений сетевой безопасность на предприятиях, учебных заведениях и правительственных организациях резко возросло за последние несколько лет. Все чаще советы и даже подробные инструкции по «вторжению» в корпоративную сеть можно найти в свободном доступе в сети интернет, следовательно, специалисты по сетевой безопасности должны анализировать риски и применять определенные методики для предотвращения атак «извне».
Современные угрозы различны: атаки на отказ оборудования DDoS (Distributed Denial of Service), так называемые «черви», «трояны» и программы, предназначенные для похищения важной информации. Эти угрозы могут легко повредить важную информацию, восстановление которой займет много времени.
Рассмотрим подробнее базовые принципы сетевой безопасности, терминологию и решения по безопасности от компании Cisco Systems – Cisco Adaptive Security Appliances (ASA).
Первое, о чем пойдет речь – это «фаервол». «Фаервол» может устанавливаться как на границе сети (защита периметра), так и локально, на рабочих станциях.
Сетевые «фаерволы» обеспечивают безопасность периметра сети. Главная задача такого «фаервола» это запрет или разрешение трафика, который проходит через единую точку входа сети. Правила запрета определяются заранее настроенной конфигурацией оборудования.
Процесс фильтрации трафика включает в себя следующие пункты:
Простая фильтрация пакетов;
Многогранная проверка трафика;
Инспекция пакетов с сохранением состояния;
Трансляция сетевых адресов.
Простая фильтрация пакетов
Цель «простой» фильтрации пакетов заключается в контроле доступа в определенный сегмент сети в зависимости от проходящего трафика. Обычно, инспектирование проходит на четвертом уровне эталонной модели OSI (Open System Interconnection). Например, «фаервол» анализирует Transmission Control Protocol (TCP) или User Datagram Protocol (UDP) пакеты и принимает решение в зависимости от заранее настроенных правил, которые имеют название Access Control Lists (ACLs).
Следующие элементы проходят проверку:
Адрес отправителя;
Адрес получателя;
Порт отправителя;
Порт получателя;
Протокол
Нарушение информационной безопасности влечет прямые финансовые потери компаний
В рамках данного понятия оперирует устройство под названием «прокси-сервер». Прокси-сервер - это устройство, которое выступает посредником от имени клиента защищенной сети. Другими словами, клиенты защищенной сети отправляет запрос на соединение с незащищенной сетью интернет напрямую прокси-серверу [7]. Далее, прокси отправляет запрос в сеть от имени клиента, инициирующего соединение. Большая часть прокси-серверов работает на уровне приложений модели OSI. Фаерволы на базе прокси могут кэшировать (запоминать) информацию, чтобы ускорять работу клиентов. Одно из главных преимуществ прокси-сервера защита от различных WEB атак [10]. Недостаток прокси «фаерволов» - плохая масштабируемость.
Инспекция пакетов с сохранением состояния
Фаерволы по типу Statefull Packet Inspection (SPI) обладает большим функционалом по сравнению с простой фильтрацией пакетов. SPI-фаервол проверяет не только заголовки пакетов, но и информацию на уровне приложений, в рамках поля полезной нагрузки. На фаерволе может быть применено множество правил фильтрации, чтобы разрешать или запрещать трафик в зависимости от содержимого поля полезной нагрузки. SPI отслеживает параметрические данные соединения в течении сессии и записывает их в так называемую «таблицу состояний». В таблице хранится такая информация как время закрытия соединения, время открытия, установления и перезагрузки. Этот механизм предотвращает обширный список атак на корпоративную сеть.
Фаервол может быть сконфигурирован как устройство для разделения некоторых сегментов сети. Такие сегменты называют демилитаризированные зоны, или Demilitarized Zone (DMZ). Подобные зоны обеспечивают безопасность ИТ – комплексам, которые находятся в пределах этих зон, а также, различные уровни безопасности и политики между ними. DMZ могут иметь несколько назначений: например, они могут выступать как сегмент, в котором находится WEB серверная ферма, или как сегмент соединения к «экстранету» партнера по бизнесу.
Выше, изображена сеть, где в DMZ 1 находятся WEB сервера, доступные из сети Интернет, внутренней сети и сети партнера. Cisco ASA, расположенная в центре рисунка, контролирует доступ из сети партнера, ограничивая доступ из DMZ 2 только ресурсам WEB серверов, запрещая доступ к внутренней сети.
В следующих статьях мы расскажем о технологиях трансляции адресов и систем IDS/IPS.
Хочу рассказать, как настроить DHCP Snooping и DAI (Dynamic Arp Inspection). Материал будет полезен начинающим сетевым администраторам.
Коротко о технологии DHCP Snooping и DAI
Данные функции защищают вашу сеть от подмены DHCP сервера. На коммутаторах вручную настраиваются доверенные порты, которые как правило подключены к маршрутизатору или DHCP серверу. Также доверенными портами назначаются UpLink порты.
Другая возможность это Dynamic Arp inspection. Тоже защитная функция, предотвращающая атаку типа Man-in-The-Middle. Это такой вид атаки, когда к вашей сети подключается устройство злоумышленника и, например, объявляет, что IP адрес, принадлежащий авторизованному серверу, принадлежит ему. После этого все данные, которые отправляются на сервер переходят через устройство злоумышленника.
Настройка DHCP Snooping и DAI
Чтобы включить функцию DHCP Snooping нужно для начала задать доверенные и не доверенные порты. Все порты, к которому подключены конечные пользователи считаются не доверенными. Так как DHCP Snooping и DAI настраиваются в связке я не буду делить это на отдельные части:
AccSwitch#conf t
AccSwitch(config)#
AccSwitch(config)#int ra gi1/0/1-46
AccSwitch(config-if-range)#ip dhcp snooping limit rate 15
AccSwitch(config-if-range)#ip arp inspection limit rate 100
Тут мы задаем количество пакетов, которые должны проходить через не доверенный интерфейс. Обычно такого числа пакетов хватает для получения и обновления IP адреса. Далее настраиваем доверенные интерфейсы:
AccSwitch(config)#int ra gi1/0/47-48
AccSwitch(config-if-range)#ip dhcp snooping trust
AccSwitch(config-if-range)#ip arp inspection trustПосле этого глобально включаем DHCP Snooping, но НЕ ARP Inspection:
AccSwitch(config)#ip dhcp snooping
AccSwitch(config)#ip dhcp snooping vlan 200
AccSwitch(config)#no ip dhcp snooping information optionПоследняя команда отключает опцию 82, которая используется коммутатором в DHCP пакетах, идущих от DHCP клиента через коммутатор к DHCP серверу. Опция 82 содержит информацию об устройстве (например, MAC адрес коммутатора) и информацию о номере порта с которого идет запрос для того, чтобы сервер, опираясь на полученную информацию, смог выдать IP адрес DHCP клиенту из нужной подсети.
Далее переходим к настройке DAI. Если у вас в сети есть устройства со статическим IP адресом, то нужно как-то сказать коммутатору, чтобы порты, к которым подключены такие устройства не проверялись. Для этого существуют ARP списки доступа. Важно, чтобы название access-list-а было именно DAI. По личному опыту знаю, что в противном случае нужно вводить дополнительные команды. А так все работает без лишних команд.
AccSwitch(config)#
AccSwitch(config)# arp access-list DAI
AccSwitch(config-arp-nacl)# permit ip host 192.168.200.25 mac host 0017.6111.a309
В таком порядке добавляем IP адреса всех устройств со статическим IP. Дополнительно можно настроить Sorce Guard. Этим мы конкретное устройство к порту коммутатора, таким образом другое устройство подключенное к указанному порту не сможет выдать себя за привязанное:
AccSwitch(config)#ip source binding 0017.6111.a309 vlan 200 192.168.200.14 interface Gi1/0/5
Также под не доверенными интерфейсами нужно ввести команду ip verify source, которые проверяет источник запросов.
Важно! После всех настроек, приведенных выше, ждем сутки-две чтобы DHCP Snooping таблица заполнилась. В противном случае DAI будет блокировать все запросы, и пользователи не смогут работать в сети. Когда таблица заполнена включаем arp inspection:
AccSwitch(config)#ip arp inspection vlan 200