По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В данной статье мы расскажем вам как заблокировать к определенным вебсайтам (к их доменам) с самым обычным межсетевым экраном Cisco ASA. Данный метод работает как на старых 5500 моделях, так и на новых 5500-X. Единственное требование – наличие версии ПО старше 8.4(2) Кроме того, вам не требуется никаких фич, присущих МСЭ следующего поколения или дополнительных подписок.
Важный момент – даже если данное решение по блокировке вебсайтов выглядит довольно простым, оно не является заменой полноценному веб-прокси серверу. В случае Cisco, таким решением является Cisco WSA – Web Security Appliance, или же данный функционал можно активировать с помощью покупки подписки на URL фильтрацию для вашего МСЭ следующего поколения.
Используемые методы
Всего существует несколько способов блокировки страниц в интернете:
Регулярные выражения с MPF (Modular Policy Framework);
Блокировка по сетевому адресу с помощью листов контроля доступа (ACL);
Используя FQDN (Fully Qualified Domain Name) в листе контроля доступа (ACL);
Первый метод работает довольно хорошо с HTTP сайтами, но он не будет работать от слова совсем с HTTPS сайтами. Второй метод будет работать только для простых сайтов, у которых статический IP – адрес, то есть будет очень трудоемко настроить его для работы с такими сайтами как Facebook, VK, Twitter и т.д. Поэтому, в данной статье мы опишем третий метод.
Описание настройки
При использовании версии ПО выше или равной 8.4(2), появилась возможность добавлять в ACL такие объекты как FQDN (полные доменные имена). Таким образом, вы можете разрешить или запретить доступ к хостам используя их доменные имена вместо IP – адресов. То есть можно будет запретить доступ к Фейсбуку просто запретив доступ к FQDN объекту «www.facebook.com» внутри ACL.
Важное преимущество данного метода состоит в том, что это не скажется на производительности вашего МСЭ – т.к DNS лукап будет совершен до этого и все ассоциированные с этим FQDN будут храниться в памяти устройства. В зависимости от TTL на DNS лукапе, МСЭ может продолжать совершать DNS запросы для определенного доменного имени (каждые несколько часов, к примеру) и обновлять IP – адреса в памяти.
На примере сети ниже, мы хотим заблокировать доступ к www.website.com, который имеет IP-адрес 3.3.3.3. Наша ASA будет использовать внутренний DNS - сервер (или любой другой DNS – сервер) для получения адреса и запрета доступа к нему во входящем ACL на внутреннем интерфейсе.
Команды
Теперь настало время написать сам конфиг (точнее только его часть, которая касается блокировки страниц). Он указан ниже, с комментариями:
domain-name merionet.ru
interface GigabitEthernet0
nameif outside
security-level 0
ip address 1.2.3.0 255.255.255.0
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.1.1
!другие команды настройки интерфейса скрыты
!Указываем, какой DNS сервер использовать для определения IP – адресов
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.2
domain-name mycompany.com
!Создаем FQDN объекты для тех сайтов, которые хотим заблокировать. Указываем как с www так и без
object network obj-www.website.com
fqdn www.website.com
object network obj-website.com
fqdn website.com
!Добавляем FQDN объекты во входящий ACL на внутреннем интерфейсе
access-list INSIDE-IN extended deny ip any object obj-www.website.com
access-list INSIDE-IN extended deny ip any object obj-website.com
access-list INSIDE-IN extended permit ip any any
!Применяем ACL выше для внутреннего интерфейса
access-group INSIDE-IN in interface inside
Данное волокно состоит из стекла или пластика и позволяет передавать сигналы в виде света. Чтобы понять, как передаются сигналы в оптическом волокне, нам сначала необходимо разобраться со способами передачи лучей света.
Способы распространения сигналов в оптоволокне
Современная технология передачи данных поддерживает два метода распространения света в оптических каналах. Для каждого метода требуются волокна с различными физическими характеристиками.
Существуют:
Многомодовый
Одномодовый
Многомодовый режим может быть реализован в двух формах:
Step- Index
Graded- Index
Далее более подробно разберем каждый из двух методов.
Многомодовый
Это название произошло из-за волокна, по которому могут передаваться большое количество световых лучей, двигающихся через сердечник в различных направлениях. Эти лучи перемещаются внутри кабеля в зависимости от структуры сердечника.
Многомодовый Step-Index
В многомодовом волокне Step-Index от центра к краям плотность ядра остается постоянной. Луч света проходит через эту постоянную плотность по прямой линии, пока не достигнет границы раздела ядра и оболочки. На границе раздела происходит резкое изменение плотности на более низкую, что изменяет угол преломления луча. Внезапность этого изменения обозначается термином Step-index.
На рисунке ниже показаны различные лучи, проходящие через многомодовое Step-Index волокно. Часть лучей в середине проходят по прямым линиям через ядро и достигают цели, не отражаясь и не преломляясь.
Часть же лучей ударяются о поверхность раздела ядра и оболочки под углом, меньшим критического угла преломления. Эти лучи проникают сквозь оболочку и пропадают. Тем не менее, другие ударяются о край ядра под углами, превышающими критический угол, и отражаются в ядро и с другой стороны, отражаясь назад и вперед по каналу, пока не достигнут цели.
Многомодовый Graded-Index
Второй тип волокна называется многомодовым Graded-Index. Это волокно уменьшает искажение сигнала через кабель. Слово индекс здесь относится к индексу преломления, а индекс преломления связан с плотностью.
Таким образом, волокно с Graded-Index -это волокно с различной плотностью. Плотность самая высокая в центре ядра и постепенно уменьшается до самого низа на краю.
На этом рисунке показано влияние этой переменной плотности на распространение световых лучей.
Одномодовый
Одномодовое волокно использует режим step-index и сильно зависит от источника света, который использует ограниченный угол преломления света, близкий к горизонтали. Волокно изготавливается с гораздо меньшим диаметром, чем у многомодовых волокон, и с существенно меньшей плотностью (показателем преломления).
Уменьшение плотности световых пучков приводит к критическому углу преломления, который приближается к 90 градусам, так чтобы лучи распространялись почти горизонтально.
В этом случае распространение различных лучей осуществляется практически одинаково и задержки незначительны. Все лучи поступают на сторону приемника вместе и могут быть рекомбинированы без искажений сигнала.
Преимущества оптоволоконного кабеля
Помехоустойчивость: для передачи данных не используется электрический сигнал, а используется свет. Электромагнитные излучения не создают помех для передачи данных. Единственная возможная помеха-это внешний свет, который изолируется внешней оболочкой.
Меньшее затухание сигнала: расстояние волоконно-оптической передачи значительно больше по сравнению с другими управляемыми средами. Сигнал может проходить на многие километры, не требуя регенерации.
Более высокая пропускная способность: по сравнению с коаксиальным кабелем или витой парой, волоконно-оптический кабель может поддерживать значительно более высокую пропускную способность, что увеличивает скорость передачи данных. Существует ограничение на скорость передачи данных и использование полосы пропускания по волоконно-оптическому кабелю, причем не носителем, а доступной технологией передачи и приема данных.
Недостатки оптоволоконного кабеля
Стоимость: этот кабель дорогой, так как любые нарушения технологии изготовления сердечника могут ослабить передаваемый сигнал. Кроме того, лазерный источник света может стоить огромных денег, по сравнению с сотнями генераторов электрических сигналов.
Установка / техническое обслуживание: при наличии шероховатости или трещин в сердечнике оптического кабеля приведет к рассеиванию и затуханию сигнала. Все соединения должны быть идеально сварены. Соединения же медных кабелей могут быть сделаны путем резки и обжима с использованием относительно простых инструментов.
Хрупкость: оптоволокно может быть легко сломано, чем медный провод, что делает его не транспортабельным, то есть там, где требуется постоянное перемещение оборудования его использовать нельзя или по крайней мере не удобно.
В статье пойдет речь о расположении файлов и папок, как использовать поиск для нахождения нужной информации. Задача ознакомление с предназначение основных папок в операционной системе Linux и то, что в них находиться.
Разберемся в структуре FHS и посмотрим, как искать файлы и команды. FHS (File System Hierarchy Standard) – это стандартная иерархия ОС.
Согласно Hierarchy FHS - есть стандартные папки, которые должны располагаться в корне.
Вот классическое расположение файлов и папок в корневой папке ОС Linux. Стандарт FHS был изначально предназначен для того, чтобы во всех дистрибутивах ОС Linux могли понять и найти все, что нам нужно. Некоторые дистрибутивы Linux отклоняются от этого стандарта, но не сильно в целом данный стандарт соблюдается. Перечислим основные папки и их предназначение.
/bin – базовые исполняемые файлы
/boot – файлы loader
/dev – устройства
/etc – конфигурация ПК
/home – домашние директории
/lib – библиотеки ядра
/proc – информация о работающей системе
/media – монтирование носителей
/mnt – монтирование носителей
/opt – дополнительное программное обеспечение
/root – домашняя директория админа
/sbin – основные программы настройки системы
/srv – данные системных служб
/tmp – временные файлы
/usr – бинарные файлы пользователей
/var - переменные
Первая папка bin в ней находятся базовые исполняемые файлы команд, т.е все команды которые может использовать пользователь они находятся здесь в данной папке. Папка boot – в данной папке находятся файлы загрузчика. Обычно это отдельный диск примонтированный в котором находиться ядро Linux. В папке dev – находятся файлы всех устройств в операционной системе Linux все и даже устройства представляют собой файлы. Папка etc – здесь находиться конфигурация нашего конкретного ПК, в ней много подпапок и в ней лежит конфигурация. В директории home находятся домашние папки всех пользователей, кроме пользователя root. В данной папке находятся документы, рабочий стол и т.д все что относится к пользователю. Папка lib здесь находятся общие библиотеки и модули ядра. Папка proc – здесь находятся вся информация о запущенных в данный момент процессах. В данную папку монтируется виртуальная файловая система procfs. Папка media создана для монтирования съемных накопителей типа USB или CD-ROM. В старых версиях Linux и до сих пор осталась, есть папка mnt. Раньше в нее монтировались съемные носители, теперь же данную папку обычно используют для монтирования дополнительных файловых систем. Папка opt - для установки дополнительного программного обеспечения. Папка root – говорит сама за себя. Папка sbin в данной папке лежат настройки серьезных таких компонент, как файрвол iptables, например, или процесс инициализации init. Папка srv в ней лежат данные для всех системных служб. Папка tmp – понятно, что в ней хранятся временные файлы. Причем данные файлы там хранятся до перезагрузки операционной системы, во время нее они удаляются. В папке usr хранятся двоичные файлы, которые относятся непосредственно к пользователю, например, игры или программы, т.е то что пользователь самостоятельно установил. Папка var – папка переменные, здесь обычно размещается почта или логи программ. Понятно, что это стандарт во многих дистрибутивах могут быть отклонения, но в том или ином виде все эти папки присутствуют в различных дистрибутивах.
Подробнее про структуру FHS можно прочитать здесь
Вторая часть не менее важная, как же найти в данных папках необходимую информацию.
Команды, используемые для поиска:
Grep – Утилита поиска по содержимому в том числе и внутри файла
Find - Утилита поиска файлов по свойствам. Серьезная утилита, которая начинает поиск файлов по файловой системе в реальном времени, у данной утилиты есть множество ключей и параметров
Locate – Это быстрый поиск файлов.
Which – Поиск команды. Выводит минимальное количество информации
Type – Вывод точной команды
Whereis – Поиск команды, исходников и мануалов. Серьезный глубокий инструмент
Начнем с find / -name mail. Данная команда начнет искать в корневой папке / все файлы с именем mail.
Данная команда рекурсивно осуществляет поиск по всей файловой системе. Т.к мы запустили поиск от пользователя root, то он пробежался по всем папкам спокойно, если запускать от обычного пользователя, то может не хватать прав.
Есть другая команда - locate mail.
Данная команда отрабатывает практически мгновенно. Команда find искала именно по синтаксису, плюс можно добавлять сложные конструкции поиска. Команда locate делает проще показывает все где находится сочетание символов.
Запустим поиск с помощью команды find / -user siadmin, поиск будет искать все что касается данного пользователя. Поиск опять идет дольше, чем поиск командой locate siadmin.
Дело в том, что данная команда по умолчанию ищет не везде и у нее есть конфигурационный файл cat /etc/updatedb.conf.
В данном конфигурационном файле мы можем увидеть, что данная утилита не ищет в примонтированных файловых системах. Даная строчка # PRUNENAMES=".git .bzr .hg .svn", говорит о том , что в данных форматы в поиске не выдаются. Поиск не производится в папках PRUNEPATHS="/tmp /var/spool /media /var/lib/os-prober /var/lib/ceph /home/.ecryptfs /var/lib/schroot". И не ищет в перечисленных файловых системах в файле. Данный файл можно конфигурировать и будут манятся параметры поиска.
Создадим файл текстовый touch Vadim.txt. И попробуем найти - locate Vadim.txt. Ничего не нашел. find Vadim.txt - поиск успешен.
locate работает с индексной локацией. Данный механизм напоминает индексацию файлов в MS Windows. Проходит индексация файлов и папок и после этого windows знает, что и где лежит. А если индексация не была проведена, то операционная система Windows или говорит, что ничего не найдено или поиск происходит длительное время. Аналогично утилита locate работает в Linux. Раз в день, команда locate запускает команду find. Команда find пробегает по всей файловой системе, а команда locate создает некую Базу данных и запоминает где и что находиться. Именно поэтому команда find работает долго, а команда locate работает практически моментально. Locate знает, где и что лежит в тот момент когда find искал. Но есть большой минус, данная функция происходит раз в день и изменения могут быть не актуальны. Для обновления базы данных команды locate, необходимо ее запустить вручную updatedb. Т.е ест конфигурация /etc/updatedb.conf и мы запускаем обновление Базы данных команды. После обновления, команда будет практически мгновенно находить.
И последняя часть статьи, в которой необходимо рассмотреть поиск по командам. Тут достаточно просто, есть команда ls – она показывает содержимое папки. Мы можем найти где находиться данная команда which ls и получим, что она находиться /bin/ls. Т.е. команда ls хранится в папке bin – где хранятся бинарники тех команд, которые могут быть вызваны пользователями. По сути когда мы набираем команду ls, мы вводим /bin/ls.
У нас есть команда type. Обратите внимание, когда мы вызываем команду ls срабатывает подсветка файлов и так далее, т.е. настройки оболочки. Когда мы запускаем напрямую /bin/ls то вызывается непосредственно команда и игнорируются настройки оболочки. Причина заключается в том, что когда мы запускаем просто команду ls, то она запускается с некоторыми ключами.
Чтобы узнать, что за ключи используются необходимо набрать type ls.
Обратите внимание, что команда ls – это алиаспсевдоним. Т.е запуская в таком режиме, фактически мы вводим /bin/ls –color=auto. И получаем красивый вывод. Type позволяет выводить псевдоним.
Есть еще одна команда, которая более детальную информацию выводит whereis ls. Для ls там не много информации.
Показывает, где лежит и к какому пакету относится.