По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Есть большое количество крупных компании с сетью, содержащих более 500 маршрутизаторов Cisco (и тысячи коммутаторов Cisco Catalyst). Какой используется протокол маршрутизации, поддерживающий все эти маршрутизаторы в согласии о доступных маршрутах? Это усовершенствованный протокол маршрутизации внутреннего шлюза (EIGRP). Именно этому посвящена данная статья, которая является первой из серии статей, посвященных EIGRP (Enhanced Interior Gateway Routing Protocol).
Эта серия статей рассматривает фундаментальные концепции EIGRP. Все статьи из цикла EIGRP:
Часть 1. Понимание EIGRP: обзор, базовая конфигурация и проверка
Часть 2. Про соседство и метрики EIGRP
Часть 2.2. Установка K-значений в EIGRP
Часть 3. Конвергенция EIGRP – настройка таймеров
Часть 4. Пассивные интерфейсы в EIGRP
Часть 5. Настройка статического соседства в EIGRP
Часть 6. EIGRP: идентификатор роутера и требования к соседству
Полное руководство по EIGRP в PDF
PDF - это удобно 👾 Все статьи из цикла про EIGRP (Enhanced Interior Gateway Routing Protocol) мы свели в единый PDF домкумент, который вы можете скачать и читать в дороге.
Книга по EIGRP в PDF | 3.27 MB
Основы EIGRP
Существует давняя дискуссия о фундаментальной природе EIGRP. По своей сути, является ли EIGRP протоколом маршрутизации состояния канала или протоколом маршрутизации вектора расстояния? Или же это гибридный протокол маршрутизации (то есть комбинация того и другого)? Вы найдете много литературы, поддерживающей идею о том, что EIGRP является гибридным протоколом маршрутизации, утверждая, что соседи EIGRP изначально обмениваются своей полной таблицей маршрутизации, во многом похожей на протокол маршрутизации вектора расстояния, и EIGRP отправляет только обновления маршрутизации на основе сетевых изменений, во многом напоминающие протокол маршрутизации состояния канала.
Многие сетевые инженеры пришли к убеждению, что EIGRP-это "продвинутый протокол маршрутизации вектора расстояния". Их рассуждения по этому поводу: рассмотрим фундаментальную характеристику протокола маршрутизации состояния канала, которая заключается в том, что маршрутизаторы поддерживают таблицу топологии, указывающую, как маршрутизаторы связаны между собой. Эти маршрутизаторы (говоря о протоколах маршрутизации, таких как OSPF и IS-IS) затем запускают алгоритм Дейкстры на этой топологии, чтобы определить "кратчайший" путь к целевой сети с точки зрения конкретного маршрутизатора. EIGRP не поддерживает представление о топологии сети и не выполняет алгоритм Дейкстры. Скорее всего, таблица топологии EIGRP содержит список доступных сетей, а также информацию о "расстоянии" до этих сетей.
Характеристики EIGRP
Давайте начнем наш обзор EIGRP, рассмотрением нескольких основных характеристиках EIGRP:
Быстрая конвергенция: если пропадает связь в сети, во многих случаях EIGRP может быстро перенаправить поток данных, обойдя место сбоя связи. Обычно это происходит не более чем за 3 секунды. Эта быстрая конвергенция становится возможной благодаря тому, что EIGRP имеет резервный маршрут к сети, и этот резервный маршрут готов взять на себя управление в случае сбоя основного маршрута.
Высокая масштабируемость: в то время как протокол маршрутизации, такой как RIP, имеет ограничение в пятнадцать переходов маршрутизатора, EIGRP может масштабироваться для поддержки очень крупных корпоративных сетей.
Балансировка нагрузки с использованием каналов с разной метрикой: по умолчанию и EIGRP, и OSPF балансируют трафик нагрузки по нескольким каналам, ведущим к определенной целевой сети, если стоимость (то есть значение метрики протокола маршрутизации) одинакова. Однако EIGRP может быть настроен для балансировки нагрузки между каналами с неравными стоимостями. Это стало возможным благодаря функции дисперсии.
Поддержка маски подсети переменной длины (VLSM): в отличие от RIP версии 1, EIGRP отправляет информацию о маске подсети как часть объявления маршрута.
Коммуникации через мультикаст: в EIGRP спикер маршрутизатор взаимодействует с другими EIGRP-спикер маршрутизаторами через мультикаст. В частности, EIGRP для IPv4 использует адрес многоадресной рассылки 224.0.0.10, в то время как EIGRP для IPv6 использует адрес многоадресной рассылки ff02::a.
Больше не проприетарный протокол: в то время как Cisco первоначально представила EIGRP как Cisco-proprietary протокол маршрутизации, в последние годы EIGRP был открыт для других поставщиков. В частности, EIGRP стал открытым стандартом в 2013 году, а информационный RFC EIGRP (RFC 7868) был опубликован в 2016 году.
Поддержка нескольких протоколов: EIGRP изначально был разработан для поддержки маршрутизации нескольких протоколов, включая IPv4, IPX и AppleTalk. Хотя современные сети редко используют IPX или AppleTalk, EIGRP теперь может поддерживать IPv6, который набирает популярность. Данная поддержка нескольких протоколов становится возможной благодаря Protocol-Dependent Modules (PDM), где существует отдельный PDM, обрабатывающий решения о маршрутизации для каждого маршрутизируемого протокола (например, IPv4 и IPv6).
Алгоритм диффузионного обновления (DUAL): алгоритм EIGRP, используемый для отслеживания маршрутов, известных соседним маршрутизаторам. DUAL также используется для определения наилучшего пути к целевой сети (то есть к маршруту-преемнику) и любых приемлемых резервных путей к этой целевой сети (то есть к возможным маршрутам-преемникам).
Суммирование: чтобы уменьшить количество записей в таблице топологии EIGRP (или таблице IP-маршрутизации маршрутизатора), EIGRP имеет возможность суммировать несколько сетевых объявлений в одно сетевое объявление. Это обобщение можно настроить вручную. Однако EIGRP имеет функцию автоматического суммирования маршрутов, которая суммирует сети на классовых границах сети.
Обновления: полные обновления таблицы топологии EIGRP отправляются при обнаружении новых соседей. В противном случае будут отправлены частичные обновления.
Обзор настройки
Базовая конфигурация EIGRP очень проста в настройке. На самом деле, для этого требуется только две команды:
router eigrp asn
network net-id wildcard-mask
Команда router eigrp asn запускает процесс маршрутизации EIGRP на маршрутизаторе для автономной системы (AS), заданной переменной asn. Эта команда также переводит вас в режим настройки маршрутизатора. Оттуда вы можете выполнить вторую команду, network net-id wildcard-mask. Эта вторая команда использует комбинацию сетевого адреса и маски подсети для указания диапазона одного или нескольких IP-адресов, и любой интерфейс маршрутизатора, чей IP-адрес принадлежит этому диапазону IP-адресов, затем участвует в процессе маршрутизации EIGRP. Тем не менее, существуют некоторые правила и модели поведения, которые следует учитывать при выполнении этих команд:
EIGRP-спикер маршрутизаторы должны быть такими же, как и для формирования соседства.
После того как маршрутизатор включает EIGRP на интерфейсах, соответствующих команде network EIGRP, он пытается обнаружить соседей с помощью многоадресной рассылки приветственных сообщений EIGRP.
Если в команде network не указана маска подсети, то указанный сетевой адрес должен быть классовым сетевым адресом.
Если в команде network не указана маска подсети, а указан классовый сетевой адрес, то все интерфейсы, IP-адреса которых подпадают под классовую сеть (например, 172.16.1.1 /24 подпадает под 172.16.0.0 /16), будут участвовать в процессе маршрутизации EIGRP.
Чтобы проиллюстрировать эти понятия, рассмотрим следующий пример:
Конфигурация EIGRP на маршрутизаторах OFF1, OFF2 и OFF3
! Router OFF1
router eigrp 1
network 10.1.1.0 0.0.0.З
network 10.1.1.5 0.0.0.0
network 192.0.2.0
! Router OFF2
router eigrp 1
network 10.0.0.0
network 198.51.100.0
! Router OFFЗ
router eigrp 1
network 0.0.0.0
Конфигурация EIGRP на маршрутизаторах OFF1, OFF2 и OFF3 начинается с команды router eigrp 1. Эта команда говорит каждому маршрутизатору начать процесс маршрутизации EIGRP в автономной системе 1. Поскольку номера автономной системы должны совпадать между EIGRP-спикер-соседями, все три маршрутизатора используют один и тот же номер автономной системы 1. Кроме того, обратите внимание, как меняется конфигурация при использовании команды network:
Команда network 10.1.1.0 0.0.0.3 на роутере OFF1
На маршрутизаторе OFF1 команда network 10.1.1.0 0.0.0.3 задает сетевой адрес 10.1.1.0 с обратной маской 0.0.0.3, которая соответствует 30-битной маске подсети (то есть маске подсети 255.255.255.252). Поскольку IP-адрес интерфейса Gig 0/1 маршрутизатора OFF1 10.1.1.1 / 30 попадает в эту подсеть, этот интерфейс проинструктирован участвовать в процессе EIGRP.
Команда network 10.1.1.5 0.0.0.0 на роутере OFF1
Команда network 10.1.1.5 0.0.0.0 указывает конкретный IP-адрес, а не всю подсеть (или можно утверждать, что это подсеть, содержащая один IP-адрес). Мы знаем, что он указывает только один IP-адрес из-за маски подсети 0.0.0.0. Напомним, что в маске подсети мы имеем ряд непрерывных нулей, за которыми следует ряд непрерывных единиц (в двоичном коде). Двоичные нули соответствуют позиции битов в IP-адресе, определяющие адрес сети, а бинарные единицы соответствуют позиции битов в IP-адресе, который указывает адрес узла. Однако в том случае, когда у нас все нули, как в нашем случае, у нас есть сеть с одним и только одним IP-адресом (то есть маска подсети равна /32). Поскольку IP-адрес совпадает с IP-адресом интерфейса Gig 0/2 маршрутизатора OFF1, этот интерфейс также участвует в процессе маршрутизации EIGRP.
Команда network 192.0.2.0 на роутере OFF1
Последняя команда network на маршрутизаторе OFF1 - это network 192.0.2.0. Интересно, что эта команда фактически была введена как сеть 192.0.2.0 0.0.0.255, но поскольку 0.0.0.255 является обратной маской, соответствующей маске подсети по умолчанию сети класса C (в данном случае 192.0.2.0 /24), она подразумевается, но не показывается. IP-адрес интерфейса Gig 0/3 маршрутизатора OFF1 192.0.2.1 / 24 действительно попадает в подсеть класса C, заданную командой network. Таким образом, Gig 0/3 также начинает участвовать в процессе маршрутизации EIGRP маршрутизатора OFF1.
Команда network 10.0.0.0 на роутере OFF2
Команда network 10.0.0.0 на маршрутизаторе OFF2, не имеет обратной маски. Однако помните, что из ранее обсуждавшейся команды network (на маршрутизаторе OFF1) обратная маска подсети не отображается, если она отражает естественную маску заданной подсети. Основываясь на этой логике, мы можем заключить, что если мы намеренно опустим аргумент обратной маски из команды network, то предполагаемая обратная маска будет маской подсети, соответствующей классовой маске подсети сети, указанной в команде network. В этом случае первый октет сети, указанный в команде network address, равен 10. 10 в первом октете адреса указывает, что мы имеем дело с адресом класса А, который имеет маску подсети по умолчанию 255.0.0.0 и, следовательно, обратную маску по умолчанию 0.0.0.255. Поскольку интерфейсы Gig 0/1 и Gig 0/2 маршрутизатора OFF2 подпадают под этот классовый сетевой оператор, оба интерфейса участвуют в процессе маршрутизации EIGRP маршрутизатора OFF2.
Команда network 198.51.100.0 на роутере OFF2
Как и предыдущая команда network, команда маршрутизатора OFF2 network 198.51.100.0 была введена без указания обратной маски. Поскольку первый октет адреса равен 198, мы можем заключить, что у нас есть сеть класса C, чья маска подсети по умолчанию равна 255.255.255.0, а обратная маска по умолчанию равна 0.0.0.255. IP-адрес (198.51.100.1 /24) интерфейсного Gig 0/3 на маршрутизаторе OFF2 живет в пределах указанной подсети 198.51.100.0 /24. Таким образом, интерфейс участвует в процессе маршрутизации EIGRP.
Команда network 0.0.0.0 на роутере OFF3
Напомним, что оператор network EIGRP, вопреки распространенному мнению, не указывает сеть для объявления. Скорее, он определяет диапазон одного или нескольких IP-адресов, и любой интерфейс с IP-адресом в этом диапазоне проинструктирован участвовать в процессе маршрутизации EIGRP. Это означает, что, если мы хотим, чтобы все интерфейсы на маршрутизаторе участвовали в одном и том же процессе маршрутизации EIGRP, мы могли бы дать команду network 0.0.0.0, чтобы указать все возможные IP-адреса. Поскольку IP-адрес каждого отдельного интерфейса подпадает под категорию "все возможные IP-адреса", все интерфейсы на маршрутизаторе OFF3 проинструктированы участвовать в процессе маршрутизации EIGRP. Кроме того, сетевые адреса этих участвующих интерфейсов (вместе с информацией о подсети для этих сетевых адресов) затем объявляются через EIGRP.
Проверка
Процесс проверки EIGRP - это нечто большее, чем просто проверка того, что между всеми маршрутизаторами сформировались соседские отношения и что все маршрутизаторы изучили все маршруты в сети. Процесс верификации должен помочь нам убедиться в том, что наши изначальные требования были выполнены. Например, нам нужно найти соответствующие маршруты, определенные интерфейсы и конкретных соседей, которые будут отображаться в таблицах EIGRP. Как только определимся с нашими изначальными целями проектирования и ожидаемыми результатами, мы можем применить команды проверки EIGRP, показанные в таблице ниже:
Ключевые команды проверки EIGRP
В следующих примерах показаны результаты выполнения каждой из этих команд после их выполнения на маршрутизаторе OFF1, показанном в предыдущей топологии.
Вывод результатов команды show ip route на маршрутизаторе OFF1:
Обратите внимание, как маршруты, изученные с помощью EIGRP, показаны с литерой D в левом столбце. Этот код D указывает на маршрут, изученный через EIGRP. Эти маршруты включают 10.1.1.8/30, 198.51.100.0/24 и 203.0.113.0 /24. Также обратите внимание на выделенные числовые значения 90 в каждом EIGRP-изученном маршруте. 90 - это административное расстояние EIGRP (то есть его правдоподобность по сравнению с другими источниками маршрутизации), где более низкие значения административного расстояния предпочтительны по сравнению с более высокими значениями.
Вывод из команды show ip protocols на маршрутизаторе OFF1
Вывод информации команды show ip protocols на EIGRP-спикер маршрутизаторе, как видно выше, предлагает нам несколько точек данных. Например, в разделе Routing for Networks: вы видите список сетей, указанных командой network в режиме конфигурации EIGRP. В разделе Routing Information Sources: вы можете видеть IP-адреса соседей EIGRP, которые являются 10.1.1.2 (то есть маршрутизатором OFF2) и 10.1.1.6 (то есть маршрутизатором OFF3) нашей топологии. Также в этом разделе вы можете увидеть административное расстояние (AD) до наших соседей. Поскольку эти соседи являются EIGRP-спикер маршрутизаторами, у них есть EIGRP AD по умолчанию 90. Наконец, обратите внимание на метрический вес K1=1, K2=0, K3=1, K4=0, K5=0 части выходного сигнала. В следующей статье мы узнаем, как EIGRP вычисляет свою метрику и как этот расчет включает в себя K-значения.
Вывод из команды show ip eigrp interfaces на маршрутизаторе OFF1
Выходные данные show ip eigrp interfaces, рассмотренные выше, указывают на то, что Gig 0/1, Gig 0/2 и Gig 0/3 маршрутизатора OFF1 участвуют в процессе маршрутизации EIGRP. В частности, этот процесс предназначен для EIGRP AS 1. Также обратите внимание, что соседство EIGRP было установлено с другим маршрутизатором, подключенным от интерфейса Gig 0/1 маршрутизатора OFF1, и другим от интерфейса Gig 0/2. Доказательством этих соседских отношений является наличие числа, превышающего 0 в колонке Peers. Поскольку интерфейс Gig 0/3 маршрутизатора OFF1 не формировал соседство с любыми другими маршрутизаторами, говорящими на EIGRP, в его столбце Peers стоит 0.
Вывод из команды show ip eigrp neighbors на маршрутизаторе OFF1:
В то время как выводимые данные из команды show ip eigrp interfaces указывали, что у нас было несколько соседей EIGRP, выходные данные из команды show ip eigrp neighbors, как видно выше, предлагают более подробную информацию об этих соседях. В частности, сосед, связанный с интерфейсом маршрутизатора OFF1 по Gig 0/1, имеет IP-адрес 10.1.1.2, а сосед соединен с интерфейсом маршрутизатора OFF1 по Gig0/2 имеет IP-адрес 10.1.1.6.
Вывод из команды show ip eigrp topology [all-links] на маршрутизаторе OFF1:
Одной из наиболее распространенных команд, используемых для проверки EIGRP и устранения неполадок, является show ip eigrp topology, как показано в приведенном выше примере. Выходные данные этой команды показывают маршруты-преемники (то есть предпочтительные маршруты) и возможные маршруты-преемники (то есть резервные маршруты), известные процессу маршрутизации EIGRP. Пожалуйста, имейте в виду, что появление маршрута в таблице топологии EIGRP не гарантирует его присутствия в таблице IP-маршрутизации маршрутизатора. В частности, маршруты-преемники, присутствующие в таблице топологии EIGRP, являются только кандидатами для попадания в таблицу IP-маршрутизации маршрутизатора. Например, маршрутизатор может обладать более достоверной информацией о маршрутизации для сети, такой как статически настроенный маршрут с административным расстоянием 1. Если EIGRP действительно является наиболее правдоподобным источником маршрутизации для конкретной сети, то эта сеть будет введена в таблицу IP-маршрутизации маршрутизатора. Кроме того, обратите внимание, как добавление аргумента all-links в приведенном выше примере показывает еще больше маршрутов (они выделены). Разница заключается в том, что аргумент all-links предписывает команде show ip eigrp topology отображать все изученные EIGRP маршруты, даже если некоторые из маршрутов не считаются маршрутами-преемниками или возможными маршрутами-преемниками.
Теперь, когда вы знаете базу, почитайте про соседство и метрики EIGRP
Быть анонимным в Интернете - это не то же самое, что безопасное использование Интернета, однако, и первое и второе предполагают сохранение конфиденциальности себя и своих данных вдали от посторонних глаз, которые могут воспользоваться уязвимостями системы, чтобы нанести ущерб.
Поэтому разработчики взяли на себя задачу создавать специализированные дистрибутивы, содержащие множество инструментов, позволяющих пользователям одновременно работать в режиме онлайн и то же время сохранять конфиденциальность.
Общим фактором почти во всех дистрибутивах Linux, ориентированных на конфиденциальность, являются их связь с Tor, учитывая, что многие из них поставляются со встроенной сетевой службой Tor для обеспечения должного уровня анонимности.
Qubes OS
Qubes OS - это ориентированный на безопасность дистрибутив на основе Fedora, который обеспечивает безопасность путем разделения на части. Это происходит путем запуска каждого экземпляра запущенных программ в изолированной виртуальной среде и последующего удаления всех его данных при закрытии программы.
ОС Qubes использует диспетчер пакетов RPM и может работать с любой рабочей средой по вашему выбору, не требуя больших ресурсов компьютера.
Скачать Qubes OS
TAILS: The Amnesic Incognito Live System
Tails - это дистрибутив Debian, разработанный для защиты личности пользователей в Интернете и обеспечения их анонимности. Tails построен так, чтобы передавать весь входящий и исходящий трафик через сеть Tor, блокируя все отслеживаемые соединения.
Он использует Gnome в качестве среды рабочего стола по умолчанию и, может быть удобно запущен с live DVD/USB, сохраняя все свои данные в оперативной памяти. Он поставляется с инструментами с открытым исходным кодом, которые специально предназначены для особых целей конфиденциальности, например, таких как подмена MAC-адреса и маскировка окон.
Скачать TAILS
BlackArch Linux
BlackArch Linux - это легковесный дистрибутив на основе Arch Linux, предназначенный для тестировщиков на проникновение, экспертов по безопасности и исследователей безопасности. Он предлагает пользователям все функции, которые может предложить Arch Linux, в сочетании с кучей инструментов кибербезопасности, насчитывающих более 2000, которые можно установить, как по отдельности, так и группами.
По сравнению с другими дистрибутивами в этом списке, BlackArch Linux - относительно новый проект, но он может выделиться как надежная ОС в сообществе экспертов по безопасности. Он поставляется с возможностью выбора пользователем любой из этих сред рабочего стола: Awesome, Blackbox, Fluxbox или spectrwm, и, как и ожидалось, он доступен в виде живого образа DVD и может быть запущен с флешки.
Скачать BlackArch Linux
Kali Linux
Kali Linux (ранее BackTrack) - это бесплатный расширенный дистрибутив Linux для тестирования на проникновение, разработанный для экспертов по безопасности, этического взлома, оценки сетевой безопасности и цифровой криминалистики.
Он сконструирован для бесперебойной работы как на 32-, так и на 64-битных архитектурах, и сразу же поставляется с набором инструментов для тестирования на проникновение, которые делают его одним из самых привлекательных дистрибутивов для пользователей, заботящихся о безопасности.
Скачать Kali Linux
JonDo/Tor-Secure-Live-DVD
JonDo Live-DVD - это более или менее коммерческое решение для анонимности, которое работает аналогично Tor, учитывая тот факт, что оно также направляет свои пакеты через специальные «смешанные серверы» под названием JonDonym (как узлы в случае Tor), каждый раз заново зашифровывая траффик. Это жизнеспособная альтернатива TAILS, особенно если вы ищете что-то с менее ограниченным пользовательским интерфейсом.
Дистрибутив основан на Debian, а также включает в себя набор инструментов для обеспечения конфиденциальности и другие часто используемых приложений.
Скачать JonDo/Tor-Secure-Live-DVD
Whonix
Если вы ищете что-то немного другое, Whonix использует совершенно иной подход, нежели упомянутый выше, поскольку он не является живой системой, а вместо этого работает в виртуальной машине - в частности, в Virtualbox - где он изолирован от вашей основной ОС, чтобы минимизировать риск утечки DNS или проникновения вредоносных программ (с привилегиями root).
Whonix состоит из двух частей: первая - это «Whonix Gateway», который действует как шлюз Tor, а другая - «Whonix Workstation» - изолированная сеть, которая маршрутизирует все свои соединения через Tor-шлюз.
Этот дистрибутив на основе Debian использует две виртуальные машины, что делает его относительно ресурсоемким, поэтому время от времени вы будете испытывать задержки, если ваше оборудование не находится на высоком уровне.
Скачать Whonix
Discreete Linux
Discreete Linux, ранее UPR или Ubuntu Privacy Remix, представляет собой дистрибутив Linux на основе Debian, разработанный для обеспечения защиты пользователей от троянского наблюдения за счет полной изоляции его рабочей среды от местоположений с личными данными. Он распространяется в виде live CD, который нельзя установить на жесткий диск, и сеть намеренно отключена во время его работы.
Discreete Linux является одним из уникальных дистрибутивов в этом списке и, очевидно, не предназначен для повседневных вычислительных задач, таких как обработка текстов и игры. Его исходный код редко обновляется, учитывая небольшую потребность в обновлениях и исправлениях, но он поставляется с рабочей средой Gnome для легкой навигации.
Скачать Discreete Linux
IprediaOS
IprediaOS - это дистрибутив Linux на базе Fedora, созданный для анонимного просмотра веб-страниц, электронной почты и обмена файлами, который предлагает пользователям стабильность, скорость и вычислительную мощность. Будучи операционной системой, заботящейся о безопасности, IprediaOS разработана с минималистской философией, позволяющей поставлять только жизненно важные приложения, а также автоматически и прозрачно шифровать и анонимизировать весь проходящий через нее трафик, используя анонимную сеть I2P.
Функции, которые предоставляет IprediaOS, включают I2P Router, анонимный IRC-клиент, анонимный BitTorrent-клиент, анонимный браузера, поиск eepSites (i2p-сайтов), анонимный почтовый клиент и LXDE.
Скачать IprediaOS
Parrot Security OS
Parrot Security OS - еще один дистрибутив на основе Debian, предназначенный для тестирования на проникновение, этического взлома и обеспечения анонимности в Интернете. Он содержит надежную и портативную лабораторию для экспертов в области цифровой криминалистики, которая включает в себя не только программное обеспечение для обратного проектирования, криптографии и конфиденциальности, но также для разработки программного обеспечения и анонимного серфинга в Интернете.
Он распространяется в виде роллинг-релиза, которая поставляется только с основными приложениями, такими как Tor Browser, OnionShare, Parrot Terminal и MATE, в качестве среды рабочего стола по умолчанию.
Скачать Parrot Security OS
Subgraph OS
Subgraph OS - это легковестный дистрибутив на основе Debian, разработанный, чтобы быть невосприимчивым к наблюдению и помехам со стороны злоумышленников в любой сети, независимо от уровня их сложности. Он создан для использования усиленного ядра Linux в сочетании с фаерволом приложений, чтобы блокировать доступ определенных программ к сети, и он заставляет весь интернет-трафик проходить через сеть Tor.
Предназначенная как защищенная от атак вычислительная платформа, цель Subgraph OS состоит в том, чтобы предоставить простую в использовании ОС со специальными инструментами конфиденциальности без ущерба для удобства использования.
Скачать Subgraph OS
Heads OS
Heads - это еще один бесплатный дистрибутив Linux с открытым исходным кодом, созданный с целью соблюдения конфиденциальности и свободы пользователей и обеспечения их безопасности и анонимности в Интернете.
Он был разработан, чтобы стать ответом на некоторые «сомнительные» решения Tails, такие как использование системного и несвободного программного обеспечения. То есть все приложения в Heads являются бесплатными и с открытым исходным кодом, и он не использует systemd в качестве системы инициализации.
Скачать Heads OS
Alpine Linux
Alpine Linux - это легковесный (можно поставить даже на Raspberry Pi), ориентированный на безопасность дистрибутив Linux с открытым исходным кодом, разработанный для обеспечения эффективности ресурсов, безопасности и простоты на основе BusyBox и musl libc.
Он активно разрабатывался с момента его первого выпуска в августе 2005 года и с тех пор стал одним из самых рекомендуемых образов для работы с образами Docker (про который можно прочитать тут).
Скачать Alpine Linux
PureOS
PureOS - это удобный для пользователя дистрибутив на основе Debian, созданный компанией Purism, которая занимается разработкой компьютеров и смартфонов Liberem, уделяя особое внимание конфиденциальности и безопасности пользователей.
Он предназначен для того, чтобы предоставить пользователям полный контроль над их вычислительной системой с полной настраиваемостью, привлекательной анимацией и минимальным объемом занимаемого пространства. Он поставляется с GNOME в качестве среды рабочего стола по умолчанию.
Скачать PureOS
Linux Kodachi
Linux Kodachi - снова легковесный дистрибутив Linux, разработанный для работы с флешкой или DVD. Сразу же, он фильтрует весь сетевой трафик через виртуальную прокси-сеть и сеть Tor, чтобы скрыть местоположение своего пользователя, и делает все возможное, чтобы удалить любые следы своей деятельности, когда он будет использован.
Он основан на Xubuntu 18.04, поставляется с настольной средой XFCE и несколькими встроенными технологиями, которые позволяют пользователям оставаться анонимными в сети, а также защищают свои данные от попадания в нежелательные руки.
Скачать Linux Kodachi
TENS
TENS (ранее Lightweight Portable Security или LPS) расшифровывается как Trusted End Node Security, и это программа, которая загружает базовую ОС Linux с портативного устройства хранения без монтирования каких-либо данных на локальный диск.
TENS не требует никаких привилегий администратора для запуска, никакого контакта с локальным жестким диском, ни установки, среди некоторых других расширенных функций безопасности.
Скачать TENS
Существует большое количество методов аутентификации клиентов беспроводных сетей при подключении. Эти методы появлялись по мере развития различных беспроводных технологий и беспроводного оборудования. Они развивались по мере выявления слабых мест в системе безопасности. В этой статье рассматриваются наиболее распространенные методы проверки подлинности.
Открытая аутентификация
Стандарт 802.11 предлагал только два варианта аутентификации клиента: open authentication и WEP.
Open authentication-предполагает открытый доступ к WLAN. Единственное требование состоит в том, чтобы клиент, прежде чем использовать 802.11, должен отправить запрос аутентификации для дальнейшего подключения к AP (точке доступа). Более никаких других учетных данных не требуется.
В каких случаях используется open authentication? На первый взгляд это не безопасно, но это не так. Любой клиент поддерживающий стандарт 802.11 без проблем может аутентифицироваться для доступа к сети. В этом, собственно, и заключается идея open authentication-проверить, что клиент является допустимым устройством стандарта 802.11, аутентифицируя беспроводное оборудование и протокол. Аутентификация личности пользователя проводится другими средствами безопасности.
Вы, вероятно, встречали WLAN с open authentication, когда посещали общественные места. В таких сетях в основном аутентификация осуществляется через веб-интерфейс. Клиент подключается к сети сразу же, но предварительно должен открыть веб-браузер, чтобы прочитать и принять условия использования и ввести основные учетные данные. С этого момента для клиента открывается доступ к сети. Большинство клиентских операционных систем выдают предупреждение о том, что ваши данные, передаваемые по сети, не будут защищены.
WEP
Как вы понимаете, open authentication не шифрует передаваемые данные от клиента к точке доступа. В стандарте 802.11 определен Wired Equivalent Privacy (WEP). Это попытка приблизить беспроводную связь к проводному соединению.
Для кодирования данных WEP использует алгоритм шифрования RC4. Данный алгоритм шифрует данные у отправителя и расшифровывает их у получателя. Алгоритм использует строку битов в качестве ключа, обычно называемого WEP- ключом. Один кадр данных-один уникальный ключ шифрования. Расшифровка данных осуществляется только при наличии ключа и у отправителя, и у получателя.
WEP- это метод безопасности с общим ключом. Один и тот же ключ должен быть как у отправителя, так и получателя. Этот ключ размещается на устройствах заранее.
WEP-ключ также может использоваться в качестве дополнительного метода аутентификации, а также инструмента шифрования. Если клиент отправляет неправильный ключ WEP, он не подключится к точке доступа. Точка доступа проверяет знание клиентом ключа WEP, посылая ему случайную фразу вызова. Клиент шифрует фразу вызова с помощью WEP и возвращает результат точке доступа (АР). АР сравнивает шифрование клиента со своим собственным, чтобы убедиться в идентичности двух ключей WEP.
Длина WEP - ключей могут быть длиной 40 или 104 бита, представленные в шестнадцатеричной форме из 10 или 26 цифр. Как правило, более длинные ключи предлагают более уникальные биты для алгоритма, что приводит к более надежному шифрованию. Это утверждение не относится к WEP. Так как WEP был определен в стандарте 802.11 в 1999 году, и соответственно сетевые беспроводные адаптеры производились с использованием шифрования, специфичного для WEP. В 2001 году были выявлены слабые места WEP, и началась работа по поиску более совершенных методов защиты беспроводной связи. К 2004 году поправка 802.11i была ратифицирована, и WEP официально устарел. Шифрование WEP и аутентификация с общим ключом WEP являются слабыми методами защиты WLAN.
802.1x/EAP
При наличии только open authentication и WEP, доступных в стандарте 802.11, требовался более безопасный метод аутентификации. Аутентификация клиента обычно включает в себя отправку запроса, получение ответа, а затем решение о предоставлении доступа. Помимо этого, возможен обмен ключами сессии или ключами шифрования в дополнение к другим параметрам, необходимым для клиентского доступа. Каждый метод аутентификации может иметь уникальные требования как уникальный способ передачи информации между клиентом и точкой доступа.
Вместо того чтобы встроить дополнительные методы аутентификации в стандарт 802.11, была выбрана более гибкая и масштабируемая структура аутентификации-разработан расширяемый протокол аутентификации (EAP). Как следует из его названия, EAP является расширяемым и не состоит из какого-либо одного метода аутентификации. Вместо этого EAP определяет набор общих функций, которые применяют фактические методы аутентификации, используемые для аутентификации пользователей.
EAP имеет еще одно интересное качество: он интегрируется со стандартом управления доступом на основе портов стандарта IEEE 802.1X. Когда порт стандарта 802.1X включен, он ограничивает доступ к сетевому носителю до тех пор, пока клиент не аутентифицируется. Это означает, что беспроводной клиент способен связываться с точкой доступа, но не сможет передавать данные в другую часть сети, пока он успешно не аутентифицируется.
Open authentication и WEP аутентификация беспроводных клиентов выполняется локально на точке доступа. В стандарте 802.1 x принцип аутентификации меняется. Клиент использует открытую аутентификацию для связи с точкой доступа, а затем фактический процесс аутентификации клиента происходит на выделенном сервере аутентификации. На рисунке 1 показана трехсторонняя схема стандарта 802.1x, состоящая из следующих объектов:
Клиент: клиентское устройство, запрашивающее доступ
Аутентификатор: сетевое устройство, обеспечивающее доступ к сети (обычно это контроллер беспроводной локальной сети [WLC])
Сервер аутентификации (AS): устройство, принимающее учетные данные пользователя или клиента и разрешающее или запрещающее доступ к сети на основе пользовательской базы данных и политик (обычно сервер RADIUS)
На рисунке клиент подключен к точке доступа через беспроводное соединение. AP представляет собой Аутентификатор. Первичное подключение происходит по стандарту open authentication 802.11. Точка доступа подключена к WLC, который, в свою очередь, подключен к серверу аутентификации (AS). Все в комплексе представляет собой аутентификацию на основе EAP.
Контроллер беспроводной локальной сети является посредником в процессе аутентификации клиента, контролируя доступ пользователей с помощью стандарта 802.1x, взаимодействуя с сервером аутентификации с помощью платформы EAP.
Далее рассмотрим некоторые вариации протокола защиты EAP
LEAP
Первые попытки устранить слабые места в протоколе WEP компания Cisco разработала собственный метод беспроводной аутентификации под названием Lightweight EAP (LEAP). Для проверки подлинности клиент должен предоставить учетные данные пользователя и пароля.
Сервер проверки подлинности и клиент обмениваются челендж сообщениями, которые затем шифруются и возвращаются. Это обеспечивает взаимную аутентификацию. Аутентификация между клиентом и AS осуществляется только при успешной расшифровке челендж сообщений.
На тот момент активно использовалось оборудование, работавшее с WEP- протоколом. Разработчики протокола LEAP пытались устранить слабые места WEP применением динамических, часто меняющихся ключей WEP. Тем не менее, метод, используемый для шифрования челендж сообщений, оказался уязвимым. Это послужило поводом признать протокол LEAP устаревшим. Существуют организации, которые все еще используют данный протокол. Не рекомендуется подключаться к таким сетям.
EAP-FAST
EAP-FAST (Flexible Authentication by Secure Tunneling) безопасный метод, разработанный компанией Cisco. Учетные данные для проверки подлинности защищаются путем передачи зашифрованных учетных данных доступа (PAC) между AS и клиентом. PAC- это форма общего секрета, который генерируется AS и используется для взаимной аутентификации. EAP-FAST- это метод состоящий из трех последовательных фаз:
Фаза 0: PAC создается или подготавливается и устанавливается на клиенте.
Фаза 1: после того, как клиент и AS аутентифицировали друг друга обсуждают туннель безопасности транспортного уровня (TLS).
Фаза 2: конечный пользователь может быть аутентифицирован через туннель TLS для дополнительной безопасности.
Обратите внимание, что в EAP-FAST происходят два отдельных процесса аутентификации-один между AS и клиентом, а другой с конечным пользователем. Они происходят вложенным образом, как внешняя аутентификация (вне туннеля TLS) и внутренняя аутентификация (внутри туннеля TLS).
Данный метод, основанный на EAP, требует наличие сервера RADIUS. Данный сервер RADIUS должен работать как сервер EAP-FAST, чтобы генерировать пакеты, по одному на пользователя.
PEAP
Аналогично EAP-FAST, защищенный метод EAP (PEAP) использует внутреннюю и внешнюю аутентификацию, однако AS предоставляет цифровой сертификат для аутентификации себя с клиентом во внешней аутентификации. Если претендент удовлетворен идентификацией AS, то они строят туннель TLS, который будет использоваться для внутренней аутентификации клиента и обмена ключами шифрования.
Цифровой сертификат AS состоит из данных в стандартном формате, идентифицирующих владельца и "подписанных" или подтвержденных третьей стороной. Третья сторона известна как центр сертификации (CA) и известна и доверяет как AS, так и заявителям. Претендент также должен обладать сертификатом CA только для того, чтобы он мог проверить тот, который он получает от AS. Сертификат также используется для передачи открытого ключа на видном месте, который может быть использован для расшифровки сообщений из AS.
Обратите внимание, что только AS имеет сертификат для PEAP. Это означает, что клиент может легко подтвердить подлинность AS. Клиент не имеет или не использует свой собственный сертификат, поэтому он должен быть аутентифицирован в туннеле TLS с помощью одного из следующих двух методов:
MSCHAPv2;
GTC (универсальная маркерная карта): аппаратное устройство, которое генерирует одноразовые пароли для пользователя или вручную сгенерированный пароль;
EAP-TLS
PEAP использует цифровой сертификат на AS в качестве надежного метода для аутентификации сервера RADIUS. Получить и установить сертификат на одном сервере несложно, но клиентам остается идентифицировать себя другими способами. Безопасность транспортного уровня EAP (EAP-TLS) усиливает защиту, требуя сертификаты на AS и на каждом клиентском устройстве.
С помощью EAP-TLS AS и клиент обмениваются сертификатами и могут аутентифицировать друг друга. После этого строится туннель TLS, чтобы можно было безопасно обмениваться материалами ключа шифрования.
EAP-TLS считается наиболее безопасным методом беспроводной аутентификации, однако при его реализации возникают сложности. Наряду с AS, каждый беспроводной клиент должен получить и установить сертификат. Установка сертификатов вручную на сотни или тысячи клиентов может оказаться непрактичной. Вместо этого вам нужно будет внедрить инфраструктуру открытых ключей (PKI), которая могла бы безопасно и эффективно предоставлять сертификаты и отзывать их, когда клиент или пользователь больше не будет иметь доступа к сети. Это обычно включает в себя создание собственного центра сертификации или построение доверительных отношений со сторонним центром сертификации, который может предоставлять сертификаты вашим клиентам.