По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Хочу рассказать, как настроить DHCP Snooping и DAI (Dynamic Arp Inspection). Материал будет полезен начинающим сетевым администраторам.
Коротко о технологии DHCP Snooping и DAI
Данные функции защищают вашу сеть от подмены DHCP сервера. На коммутаторах вручную настраиваются доверенные порты, которые как правило подключены к маршрутизатору или DHCP серверу. Также доверенными портами назначаются UpLink порты.
Другая возможность это Dynamic Arp inspection. Тоже защитная функция, предотвращающая атаку типа Man-in-The-Middle. Это такой вид атаки, когда к вашей сети подключается устройство злоумышленника и, например, объявляет, что IP адрес, принадлежащий авторизованному серверу, принадлежит ему. После этого все данные, которые отправляются на сервер переходят через устройство злоумышленника.
Настройка DHCP Snooping и DAI
Чтобы включить функцию DHCP Snooping нужно для начала задать доверенные и не доверенные порты. Все порты, к которому подключены конечные пользователи считаются не доверенными. Так как DHCP Snooping и DAI настраиваются в связке я не буду делить это на отдельные части:
AccSwitch#conf t
AccSwitch(config)#
AccSwitch(config)#int ra gi1/0/1-46
AccSwitch(config-if-range)#ip dhcp snooping limit rate 15
AccSwitch(config-if-range)#ip arp inspection limit rate 100
Тут мы задаем количество пакетов, которые должны проходить через не доверенный интерфейс. Обычно такого числа пакетов хватает для получения и обновления IP адреса. Далее настраиваем доверенные интерфейсы:
AccSwitch(config)#int ra gi1/0/47-48
AccSwitch(config-if-range)#ip dhcp snooping trust
AccSwitch(config-if-range)#ip arp inspection trustПосле этого глобально включаем DHCP Snooping, но НЕ ARP Inspection:
AccSwitch(config)#ip dhcp snooping
AccSwitch(config)#ip dhcp snooping vlan 200
AccSwitch(config)#no ip dhcp snooping information optionПоследняя команда отключает опцию 82, которая используется коммутатором в DHCP пакетах, идущих от DHCP клиента через коммутатор к DHCP серверу. Опция 82 содержит информацию об устройстве (например, MAC адрес коммутатора) и информацию о номере порта с которого идет запрос для того, чтобы сервер, опираясь на полученную информацию, смог выдать IP адрес DHCP клиенту из нужной подсети.
Далее переходим к настройке DAI. Если у вас в сети есть устройства со статическим IP адресом, то нужно как-то сказать коммутатору, чтобы порты, к которым подключены такие устройства не проверялись. Для этого существуют ARP списки доступа. Важно, чтобы название access-list-а было именно DAI. По личному опыту знаю, что в противном случае нужно вводить дополнительные команды. А так все работает без лишних команд.
AccSwitch(config)#
AccSwitch(config)# arp access-list DAI
AccSwitch(config-arp-nacl)# permit ip host 192.168.200.25 mac host 0017.6111.a309
В таком порядке добавляем IP адреса всех устройств со статическим IP. Дополнительно можно настроить Sorce Guard. Этим мы конкретное устройство к порту коммутатора, таким образом другое устройство подключенное к указанному порту не сможет выдать себя за привязанное:
AccSwitch(config)#ip source binding 0017.6111.a309 vlan 200 192.168.200.14 interface Gi1/0/5
Также под не доверенными интерфейсами нужно ввести команду ip verify source, которые проверяет источник запросов.
Важно! После всех настроек, приведенных выше, ждем сутки-две чтобы DHCP Snooping таблица заполнилась. В противном случае DAI будет блокировать все запросы, и пользователи не смогут работать в сети. Когда таблица заполнена включаем arp inspection:
AccSwitch(config)#ip arp inspection vlan 200
В сегодняшней статье расскажем про способ настройки IPsec сервера на Mikrotik, который будет особенно актуален для пользователей MacOS и iOS - L2TP
Дело в том, что в старших релизах iOS и macOS, компания Apple убрала поддержку PPTP из-за уязвимостей безопасности данного протокола. Поэтому, если раньше вы использовали PPTP для подключения к ресурсам локальной сети, то начиная с версий macOS 10.12 и iOS 10 этого сделать не получится.
Настройка
Итак, давайте перейдём к настройке. В нашем случае используется роутер RB951Ui-2HnD и RouterOS версии 6.23. Для настройки будем пользоваться утилитой WinBox последней версии.
Для начала назначим IP адресацию для VPN сети:
Теперь необходимо включить и настроить L2TP сервер, для этого в меню WinBox слева открываем PPP → L2TP Server, включаем сервер, отметив галочкой Enabled, выбираем Use IPsec и задаём пароль:
Далее нужно создать пул адресов, который будет назначаться пользователям, которые будут подключаться к нашему серверу. Вы также можете назначить IP адреса вручную, однако, если пользователей будет много, рекомендуется всё же создать пул. Для этого открываем IP → Pool и создаём новый пул.
Создадим профиль для пользователей, которые будут подключаться к нашему серверу, в котором укажем ранее созданный пул назначаемых адресов. Для этого открываем PPP → Profile → + и добавляем новый профиль, в котором указываем пул, адреса из которого нужно назначать и DNS серверы:
Теперь создадим учётную запись для пользователей, которые будут подключаться к нашему серверу и укажем в ней ранее созданный профиль. Для этого открываем PPP → Secret → + и заполняем следующие поля:
Осталось создать IPsec Peer для L2TP и можно подключаться к нашему новому серверу. Для этого открываем IP → IPsec → Peers → + и заполняем поля следующим образом:
Поля во вкладках Advanced и Encryption можно оставить по умолчанию.
ИТ-среда является основой для функционирования многих предприятий. Постоянное управление позволяет быстро обнаруживать и исправлять любые ошибки и обеспечивать безопасность определенной области.
ИТ-мониторинг - что это значит?
Мониторинг ИТ-инфраструктуры - это набор действий, которые позволяют наблюдать за ИТ-средой, осуществляемой с целью получения информации о функционировании инфраструктуры, систем и приложений. Это решение для любой компании, у которой есть хотя бы один компьютер. Более того, этот метод защиты ИТ-систем должен заинтересовать даже небольшое предприятие, которое заботится о безопасности собранных данных, цифровых документов и корпоративной информации.
Мониторинг ИТ-инфраструктуры можно разделить на:
Реактивный мониторинг - решения, благодаря которым можно быстро обнаруживать сбои с одновременным указанием источника проблемы и возможностью информирования о ней конкретных людей или систем.
Проактивный мониторинг - основан на анализе собранных данных и прогнозировании поведения выбранных компонентов на их основе, что позволяет исключить нежелательные события в будущем.
7 преимуществ использования IT-мониторинга
1. Непрерывный мониторинг ИТ-систем
Преимущество использования защиты и контроля ИТ-инфраструктуры на предприятии позволяет точно контролировать отдельные процессы в режиме реального времени. Услуга может включать мониторинг приложений, сетевых служб (например, POP3 или HTTP), использование системных ресурсов (системные журналы, процессоры) или управление событиями и тенденциями.
2. Быстрая информация об угрозе
В зависимости от выбранной опции системы уведомлений отдельные программы могут уведомлять администратора о возникающей угрозе, например, по электронной почте, SMS или другими сообщениями. Благодаря контролю в режиме реального времени можно быстро получать информацию и так же быстро реагировать на любые проблемы.
3. Мониторинг пользователей
Система ИT-мониторинга позволяет контролировать деятельность сотрудников на оборудовании компании. Это не только повышает безопасность, но иногда и эффективность сотрудников. Некоторые системы также позволяют отслеживать действия удаленных работников.
4. Комфорт работы
Помимо контроля со стороны работодателя, сотрудники, работающие на оборудовании компании, могут чувствовать себя более комфортно на работе благодаря различным функциональным возможностям и гарантиям безопасности конкретной системы или устройства. Более того, благодаря профессиональному ИТ-сервису риск простоев и потерь бизнеса сводится к минимуму.
5. Безопасность данных
Процесс мониторинга ИТ-инфраструктуры также защищает от утечки или потери важных данных с компьютеров и серверов компании. Это защита от ошибок пользователя и попытки кражи корпоративных данных.
6. Система отчетности
Профессиональный мониторинг ИТ-инфраструктуры позволяет формировать отчеты о частоте отказов отдельных областей ИТ-инфраструктуры и на их основе создавать процедуры обслуживания и устранять возможные ошибки.
7. Оптимизация затрат
Благодаря профессиональному мониторингу ИТ можно эффективно оптимизировать расходы на предприятии. Предотвращение поломок на работе исключит возможные простои в работе предприятия. Это также означает снижение затрат на возможный ремонт или дополнительные ИТ-операции.
Мониторинг системного журнала
Контроль ИТ-инфраструктуры позволит обнаруживать возможные угрозы и предотвращать их. Важность управления журналами для безопасности данной организации чрезвычайно высока. Особенностью всех ИТ-систем является то, что они сохраняют логи. Без них часто было бы невозможно контролировать ИТ-инфраструктуру, а также находить причины сбоев и решать конкретные проблемы. Системные журналы могут быть собраны и проанализированы, что часто позволяет обнаружить потенциальную опасность или реальную угрозу для компании.
Мониторинг сетевых устройств
Он заключается в управлении сетевым трафиком, то есть чтении количества переданных битов на данном порту. Статусы портов и нагрузка на устройство также важны для ИТ-администратора.
Мониторинг сервера
Проверка включает проверку загрузки ресурса: процессоров, оперативной памяти или жесткого диска.
Мониторинг приложений
Деятельность направлена на лучшую оптимизацию работы данного устройства. Мониторинг касается доступности самого приложения с различными протоколами или портами и времени отклика отдельных функциональных возможностей приложения. Контролируется вся инфраструктура, от устройств до уровня приложений. Это комплексное решение, которое выбирают все больше и больше компаний.
Управление ИТ-ресурсами
Измерение, получение информации, анализ и выводы на этой основе являются рядом факторов, которые составляют профессиональный мониторинг ИТ. Нужны опытные специалисты и проверенные инструменты мониторинга, которые позволяют вам управлять производительностью и событиями в рамках определенных ресурсов. Поэтому такие процессы являются неотъемлемыми элементами ИТ-инфраструктуры.
Преимущества мониторинга ИТ-инфраструктуры включают в себя:
Эффективное предотвращение неправильного использования ресурсов;
Защита активов компании - как от людей, которые имеют к ним доступ, так и от атак в киберпространстве;
минимизация риска;
Быстрая возможность выявления ошибок в определенных областях ИТ-инфраструктуры и их эффективное устранение.
Правильный выбор решений, их правильная реализация и конфигурация позволяют быстрее находить возможные проблемы и удалять их источники. Надежная ИТ-инфраструктура должна быть основой любого предприятия - как маленького, так и крупного.