По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
SNMP (Simple Network Management Protocol) - стандартный протокол для запроса информации о состоянии сетевых устройств, и он является pull протоколом - это означает, что SNMP обязан на регулярной основе запрашивать информацию о состоянии устройств - SNMP-коллекторы опрашивают устройства, а SNMP-агенты на устройствах передают данную информацию. Частота опросов основывается на нескольких факторах, таких как: Степень необходимой детализации получаемой информации; Объем доступного места на хранилище; Срок хранения данной информации; SNMP является широко распространенным протоколом - в свободном доступе находится как достаточно много решений-коллекторов с открытым кодом, так и коммерческих вариантов - причем существуют как программные решения, так и “железные”. Маршрутизаторы и свичи чаще всего являются SNMP-агентами, также как и три основных операционных системы - Windows, Mac OS и Linux. Но с небольшой поправкой, на них SNMP служба должна быть запущена вручную. Важно: SNMP может предоставить много полезной информации о “здоровье” оборудования, но необходимо помнить, что всегда нужно использовать безопасную версию SNMP протокола - с настроенной аутентификацией и нестандартной Community строкой. Версии SNMP протокола Всего существует три основных (они же и повсеместно используемые) версии SNMP протокола, в нашем случае мы будем использовать третью версию. Ниже, на всякий случай, приведено краткое описание каждой из версий. SNMP v1 Первая версия является оригинальной версией и до сих пор используется, даже практически спустя тридцать лет. В данной версии нельзя применить никакие меры для повышения безопасности помимо Community строки, которая является чем-то вроде пароля. Если данная строка на Коллекторе соответствует строке на Агенте, то Коллектор сможет запросить информацию. Именно поэтому так важно изолировать SNMP и поместить его в отдельную подсеть и изменить Community строку. SNMP v2c Версия 2с привнесла дополнительные фичи в SNMP, но основным инструментом повышения безопасности все еще является Community строка. Следующая версия (v3) является предпочтительным вариантом, но некоторые организации все еще используют v1 и v2c. SNMP v3 Третья версия имеет в себе фичи шифрования и аутентификации, а также способна отправлять настройки на удаленные SNMP-агенты. Данная версия является предпочтительной, но необходимо чтобы и Коллектор, и Агент поддерживали её. Несмотря на то, что SNMP v3 позволяет удаленно конфигурировать девайсы, большинство организаций не используют данную фичу - для этих целей используются такие решения как Ansible, Puppet, Chef или проприетарные системы управления. Настройка на маршрутизаторе MikroTik На большинстве устройств Community строкой является слово “public” - и этот факт широко известен, к примеру порт сканнер Nmap автоматически будет пробовать данный вариант. Если данная строка не была изменена, вы, по сути, предоставляете очевидную лазейку злоумышленникам. К сожалению, на маршрутизаторах MikroTik данную строку нельзя отключить или удалить, но её можно изменить и запретить. /snmp community set 0 name=not_public read-access=no write-access=no Затем необходимо создать SNMP Community со следующими параметрами: Нестандартное имя; Только чтение; Аутентификация; Шифрование; Для этого можно использовать команду ниже - она сделает все необходимое, но, естественно, вам необходимо поменять строки wow_password и awesome_password на актуальные пароли, которые будут использоваться у вас в системе. Также поменяйте имя строки на любое другое - в примере используется имя perch_pike. /snmp community add name=perch_pike read-access=yes write-access=no authentication-protocol=SHA1 authentication-password=wow_password encryption-protocol=AES encryption-password=awesome_password security=private Осталось выполнить всего одну команду для включения SNMP и настройки вашей локации и контактной информации для устройства: /snmp set contact="Aristarh @ Merion Networks" location="Internet, RUS" enabled=yes Заключение SNMP - широко известный протокол, который также хорошо поддерживается компанией MikroTik и остальными производителями. Всегда используйте нестандартные Community строки, аутентификацию и шифрование, чтобы быть на 100% уверенными в том, что злоумышленники не могут получить информацию об устройствах в вашей сети - и тогда SNMP будет верным помощником в поддержке вашей сети.
img
ICMP, который расшифровывается как Internet Control Message Protocol это протокол третьего уровня модели OSI, который используется для диагностики проблем со связностью в сети. Говоря простым языком, ICMP помогает определить может ли достичь пакет адреса назначения в установленные временные рамки. Обычно, ICMP “юзают" маршрутизаторы и устройства третьего уровня. Для чего используется ICMP? Основная цель ICMP это отчетность об ошибках. При соединении двух девайсов в сети, если часть данных не доходит до адреса назначения, теряется или превышает допустимые таймауты - ICMP генерирует ошибки. Второе, и, пожалуй, одно из самых популярных применений ICMP это утилиты ping и traceroute. Термин “пинговать" как - раз связан с протоколом ICMP и “пинговать" хост - означает отправлять ICMP пакеты с целью понять, отвечает ли на них целевое устройство. Про трассировку Так и с “трассировкой". Когда говорят “сделайте трассировку маршрута" это означает, что мы хотим увидеть полный маршрут между хостом, на котором выполняется трассировка до хоста назначения. Трассировка покажет каждый из маршрутизаторов на пути до цели и время обработки и прохождения каждого из участков маршрута. Кстати, такой маршрут называется “хопом". Часто говорят: если от узла отправления до узла назначения на пути встретиться 7 маршрутизаторов, то говорят на пути будет 7 хопов. А если на 6 маршрутизаторе пакет обрабатывается дольше обычного, то в среде инженеров говорят “на 6 хопе повышенная задержка". Это один из базовых инструментов того, как можно понять, какой из сетевых узлов на маршруте пакет “сбоит". Именно в этом нам помогает протокол ICMP. Про пинг Теперь про ping. Можно сказать, это самый базовый инструмент инженера, который позволяет понять “"А жив ли хост?" Помимо прочего, пинг поможет понять как долго пакет доходит до адреса назначения и, соответственно, поможет измерить задержку. Работает ping предельно просто: Источник отправляет запрос вида ICMP echo request. Это выглядит как вопрос “бро, ты живой?" Получатель отправляет ответ источнику ICMP echo reply. Это звучит как ответ вида “да, бро, я жив, спасибо!" Время с момента отправки вопроса до получения ответа суммируется и считается за время пинга Темная сторона ICMP На самом деле, с помощью ICMP можно провести атаки на сеть. Эти атаки связаны с отказом устройства в обслуживании (denial-of-service, DoS). Например “флуд - атака", суть которой заключается в отправке огромного количества пинг (ICMP) - запросов на хоста назначения с разных источников. В итоге устройство отвечает кучей пакетов на разные адреса и перегружает собственные мощности и сетевой адаптер. Так же, раньше была популярна атака Ping of Death. Если кратко, ее суть заключалась в следующем: злоумышленник намеренно отправляет пакет больше максимального размера. Такой пакет фрагментируется на сети на несколько частей, прилетает в буфер устройства и попадает в очередь на сборка пакета “воедино". Переполнение этой очереди приводило к подвисанию хоста и полному отказу в работе. Что же, теперь вы знаете, что такое ICMP, почему и как он используется в утилитах ping и трассировке, а так же, какие виды атак можно выполнить с помощью ICMP. Keep calm and Merion!
img
Когда появился брандмауэр ASA 5506-X, было много нареканий: "это устройство не является заменой ASA 5505, к нему необходимо докупать коммутатор!" и "на устройстве есть шесть портов, но которые я не могу использовать" и так далее. Если, честно сказать, ASA 5505 должен использоваться в среде SOHO, где все находится в одном устройстве (с PoE). Проблема состояла в том, что люди стали устанавливать их повсюду и в крупных компаниях, и в центрах обработки данных. Что бы решить эту проблему, необходимо было бы изменить аппаратное обеспечение. Поэтому Cisco, для решения этой проблемы, просто добавила BVI (виртуальный интерфейс моста), начиная с версии 9.7. Вообще, это не совсем верное утверждение, так как в Cisco ASA уже определенное время имеются интерфейсы BVI (Bridge Group Virtual Interface) в так называемом "прозрачном режиме" (transparent mode). Таким образом, на ASA 5506-X с настройками по умолчанию- это "мостовые" интерфейсы начиная с порта Ge0/2 и заканчивая портом Ge0/8, которым можно присвоить имя inside и IP-адрес. Вроде бы все как у ASA5505. Но нет, потому что для каждого мостового интерфейса требуется прописывать отдельно access-group/ACL, а также отдельно настраивать NAT. Конечно, можно все оставить по умолчанию и ничего не трогать, если у вас ну очень простая сеть. Также обратите внимание, что утверждение выше справедливо и для удаленного управления через SSH/ADSM и так далее. Далее посмотрим настройки и произведем изменения в интерфейсе ASA 5506-X для BVI Ниже показана сокращенная конфигурация брандмауэра по умолчанию и жирным шрифтом выделены дополнительные команды, которые используются для этой конфигурации брандмауэра. Это обновленная "дефолтная" конфигурация брандмауэра 5506-X (начиная с version 9.7.) Удаление интерфейса BVI на ASA 5506-X через CLI Во-первых, необходимо удалить группу мостов на физических интерфейсах, но предварительно надо удалить имя интерфейса. Если этого не сделать, то это приведет к ошибке. Подключитесь к устройству через консольный кабель или через внешний интерфейс (outside)(Это необходимо, так как мы собираемся удалить настроенный внутренний интерфейс (inside). Только после выполнения вышеописанных команд можно удалить интерфейс BVI. Интерфейс BVI1 будет удален из конфигурации (если вы ранее работали на маршрутизаторах, то это похоже на удаление интерфейса loopback). Теперь удалите "несуществующие" группы объектов, которые использовались для NAT. Предположим, что внешний интерфейс (GigabitEthernet0/1) включен и подключен, (по умолчанию он будет настроен на DHCP). Далее необходимо будет настроить "внутренний" интерфейс (будет использован GigabitEthernet0/2) и настроить правило NAT/PAT, чтобы разрешить трафик. Теперь весь трафик из внутренней сети во внешнюю разрешен, а весь внешний трафик запрещен.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59