По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Модель Open Systems Interconnection (OSI) – это скелет, фундамент и база всех сетевых сущностей. Модель определяет сетевые протоколы, распределяя их на 7 логических уровней. Важно отметить, что в любом процессе, управление сетевой передачей переходит от уровня к уровню, последовательно подключая протоколы на каждом из уровней.
Видео: модель OSI за 7 минут
Нижние уровни отвечают за физические параметры передачи, такие как электрические сигналы. Да – да, сигналы в проводах передаются с помощью представления в токи :) Токи представляются в виде последовательности единиц и нулей (1 и 0), затем, данные декодируются и маршрутизируются по сети. Более высокие уровни охватывают запросы, связанные с представлением данных. Условно говоря, более высокие уровни отвечают за сетевые данные с точки зрения пользователя.
Модель OSI была изначально придумана как стандартный подход, архитектура или паттерн, который бы описывал сетевое взаимодействие любого сетевого приложения. Давайте разберемся поподробнее?
#01: Физический (physical) уровень
На первом уровне модели OSI происходит передача физических сигналов (токов, света, радио) от источника к получателю. На этом уровне мы оперируем кабелями, контактами в разъемах, кодированием единиц и нулей, модуляцией и так далее.
Среди технологий, которые живут на первом уровне, можно выделить самый основной стандарт - Ethernet. Он есть сейчас в каждом доме.
Отметим, что в качестве носителя данных могут выступать не только электрические токи. Радиочастоты, световые или инфракрасные волны используются также повсеместно в современных сетях.
Сетевые устройства, которые относят к первому уровню это концентраторы и репитеры – то есть «глупые» железки, которые могут просто работать с физическим сигналом, не вникая в его логику (не декодируя).
#02: Канальный (data Link) уровень
Представьте, мы получили физический сигнал с первого уровня – физического. Это набор напряжений разной амплитуды, волн или радиочастот. При получении, на втором уровне проверяются и исправляются ошибки передачи. На втором уровне мы оперируем понятием «фрейм», или как еще говорят «кадр». Тут появляются первые идентификаторы – MAC – адреса. Они состоят из 48 бит и выглядят примерно так: 00:16:52:00:1f:03.
Канальный уровень сложный. Поэтому, его условно говоря делят на два подуровня: управление логическим каналом (LLC, Logical Link Control) и управление доступом к среде (MAC, Media Access Control).
На этом уровне обитают такие устройства как коммутаторы и мосты. Кстати! Стандарт Ethernet тоже тут. Он уютно расположился на первом и втором (1 и 2) уровнях модели OSI.
#03: Сетевой (network) уровень
Идем вверх! Сетевой уровень вводит термин «маршрутизация» и, соответственно, IP – адрес. Кстати, для преобразования IP – адресов в MAC – адреса и обратно используется протокол ARP.
Именно на этом уровне происходит маршрутизация трафика, как таковая. Если мы хотим попасть на сайт wiki.merionet.ru, то мы отправляем DNS – запрос, получаем ответ в виде IP – адреса и подставляем его в пакет. Да – да, если на втором уровне мы используем термин фрейм/кадр, как мы говорили ранее, то здесь мы используем пакет.
Из устройств здесь живет его величество маршрутизатор :)
Процесс, когда данные передаются с верхних уровней на нижние называется инкапсуляцией данных, а когда наоборот, наверх, с первого, физического к седьмому, то этот процесс называется декапсуляцией данных
#04: Транспортный (transport) уровень
Транспортный уровень, как можно понять из названия, обеспечивает передачу данных по сети. Здесь две основных рок – звезды – TCP и UDP. Разница в том, что различный транспорт применяется для разной категории трафика. Принцип такой:
Трафик чувствителен к потерям - нет проблем, TCP (Transmission Control Protocol)! Он обеспечивает контроль за передачей данных;
Немного потеряем – не страшно - по факту, сейчас, когда вы читаете эту статью, пару пакетов могло и потеряться. Но это не чувствуется для вас, как для пользователя. UDP (User Datagram Protocol) вам подойдет. А если бы это была телефония? Потеря пакетов там критична, так как голос в реальном времени начнет попросту «квакать»;
#05: Сеансовый (session) уровень
Попросите любого сетевого инженера объяснить вам сеансовый уровень. Ему будет трудно это сделать, инфа 100%. Дело в том, что в повседневной работе, сетевой инженер взаимодействует с первыми четырьмя уровнями – физическим, канальным, сетевым и транспортным. Остальные, или так называемые «верхние» уровни относятся больше к работе разработчиков софта :) Но мы попробуем!
Сеансовый уровень занимается тем, что управляет соединениями, или попросту говоря, сессиями. Он их разрывает. Помните мем про «НЕ БЫЛО НИ ЕДИНОГО РАЗРЫВА»? Мы помним. Так вот, это пятый уровень постарался :)
#06 Уровень представления (presentation)
На шестом уровне творится преобразование форматов сообщений, такое как кодирование или сжатие. Тут живут JPEG и GIF, например. Так же уровень ответственен за передачу потока на четвертый (транспортный уровень).
#07 Уровень приложения (application)
На седьмом этаже, на самой верхушке айсберга, обитает уровень приложений! Тут находятся сетевые службы, которые позволяют нам, как конечным пользователям, серфить просторы интернета. Гляньте, по какому протоколу у вас открыта наша база знаний? Правильно, HTTPS. Этот парень с седьмого этажа. Еще тут живут простой HTTP, FTP и SMTP.
Компания Cisco сейчас, безусловно, является лидером среди производителей сетевого оборудования, однако немалую часть этого рынка занимает оборудование компаний Huawei и Juniper, в которых команды для CLI отличаются от команд в Cisco IOS. Поэтому, мы собрали в таблицы основные и наиболее часто используемые команды для траблшутинга у Cisco и привели их аналоги в Huawei и Juniper. Поэтому, если вы знакомы с системой IOS, то эта таблица поможет на начальных этапах освоиться в других ОС.
Список основных команд, конечно, шире, поэтому если мы забыли упомянуть какие-то команды, напишите их комментариях.
Cisco
Huawei
show
display
traceroute
tracert
configure terminal
system-view
exit
quit
end
return
no
undo
reload
reboot
erase
delete
hostname
sysname
enable
super
disable
super 0
write memory / copy running-config startup-config
save
show ip route
display ip routing-table
show flash
dir flash:
clear
reset
show logging
display logbuffer
write terminal / show run
display current-configuration
show startup
display saved-configuration
show tech
display diagnostic-information
show ip nat translation
display nat session
enable secret
super pass cipher
snmp-server
snmp-agent
router ospf
ospf
router rip
rip
router bgp
bgp
show ospf neighbours
display ospf peer
show interfaces
display interface
show version
display version
show history
display history-command
show access-list
display acl all
shop ip nat translations
display nat session all
show mac address-table
display mac-address
show spanning-tree
display stp
debug / no debug
debugging / undo debugging
Получается как-то так. А если сравнить команды Cisco и Juniper?
Cisco
Juniper
show run
show configuration
show history
show cli history
show running-config
show configuration
show ip route
show route
show ip interface brief
show interface terse
show controller
show interfaces intfc extensive
show tech-support
request support info
reload
request system reboot
clock set
set date
show ip bgp
show route protocol bgp
show ip bgp neighbors
show ip bgp neighbor
show ip bgp summary
show bgp summary
clear ip bgp
clear bgp neighbor
show ip ospf database
show ospf database
show ip ospf interface
show ospf interface
show ip ospf neighbor
show ospf neighbor
show ip traffic
show system statistic
show logging
show log
no
delete
Периметр сети в традиционном понимании исчез. Доступ к приложениям и цифровым ресурсам организации происходит из разных мест вне стен офиса и контроль за этими доступами становится серьезной проблемой. Дни, когда можно было защитить границы сети, давно прошли. Настало время для новых стратегий безопасности с нулевым доверием - Zero Trust.
Когда цифровым активам компании приходится преодолевать большие расстояния по небезопасным путям Интернета, ставки настолько высоки, что нельзя доверять ничему и никому. Поэтому следует использовать модель сети с нулевым доверием, чтобы постоянно ограничивать доступ всех пользователей ко всем сетевым ресурсам.
В сетях с нулевым доверием любая попытка доступа к ресурсу ограничивается пользователем или устройством, независимо от того, имели ли они ранее доступ к одному и тому же ресурсу. Чтобы получить доступ к ресурсам любой пользователь или устройство всегда должны проходить процесс аутентификации и верификации, даже если они физически находятся в организации. Эти проверки должны быть быстрыми, чтобы политики безопасности не снижали производительность приложений и работу пользователей.
Zero-trust vs. VPN
Модель сети с нулевым доверием заменяет модель VPN, традиционно используемую компаниями для удаленного доступа своих сотрудников к цифровым ресурсам. VPN заменяется, поскольку они имеют основной недостаток, который могут устранить сети с нулевым доверием. В VPN любая уязвимость, которое происходит в зашифрованном канале, соединяющем пользователя с сетью организации, предоставляет потенциальным злоумышленникам неограниченный доступ ко всем ресурсам компании, подключенным к сети.
В старых локальных инфраструктурах VPN работали хорошо, но они создают больше проблем, чем решений в облачных или смешанных инфраструктурах.
Сети с нулевым доверием устраняют этот недостаток VPN, но добавляют потенциальный недостаток: они могут привести к дополнительной сложности с точки зрения реализации и обслуживания, поскольку полномочия должны быть обновлены для всех пользователей, устройств и ресурсов. Это требует дополнительной работы, но взамен ИТ-отделы получают больший контроль над ресурсами и уменьшается плоскость атаки.
К счастью, преимуществами сети с нулевым доверием можно пользоваться без дополнительных усилий по обслуживанию и развертыванию благодаря инструментам, которые автоматизируют и помогают в задачах администрирования сети. Описанные ниже инструменты помогают применять политики нулевого доверия с минимальными усилиями и затратами.
1. Perimeter 81
Perimeter 81 предлагает два подхода к управлению приложениями и сетями организации и обеспечению их безопасности как в облачных, так и локальных средах. Оба подхода начинаются с предложения сетей с нулевым доверием в качестве услуги. Для этого в Perimeter 81 используется программно-определяемая архитектура периметра, которая обеспечивает большую гибкость для новых пользователей и обеспечивает большую видимость сети. Кроме того, сервис совместим с основными поставщиками облачной инфраструктуры.
Доступ к приложениям с нулевым доверием основан на предположении, что каждая компания имеет критически важные приложения и службы, доступ к которым большинству пользователей не требуется. Сервис позволяет создавать политики для конкретных пользователей в зависимости от их ролей, устройств, местоположений и других идентификаторов.
При этом Zero Trust Network Access определяет сегментацию сети организации по зонам доверия, что позволяет создавать пределы доверия, контролирующие поток данных с высоким уровнем детализации. Доверенные зоны состоят из наборов элементов инфраструктуры с ресурсами, которые работают на одном уровне доверия и обеспечивают аналогичную функциональность. Это уменьшает количество каналов связи и минимизирует возможность возникновения угроз.
Служба доступа к сети с нулевым доверием Perimeter 81 обеспечивает полное и централизованное представление сети организации, обеспечивая наименее привилегированный доступ для каждого ресурса. Его функции безопасности соответствуют модели SASE компании Gartner, поскольку безопасность и управление сетью унифицированы на единой платформе.
Две услуги Perimeter 81 включены в схему ценообразования с широким спектром опций. Эти возможности варьируются от базового плана с необходимыми компонентами для обеспечения безопасности сети и управления ею до корпоративного плана, который может неограниченно масштабироваться и обеспечивает специальную поддержку 24/7.
2. ZScaler Private Access
ZScaler Private Access (ZPA) - это облачная сетевая служба с нулевым доверием, которая управляет доступом к частным приложениям организации независимо от того, находятся ли они в собственном центре обработки данных или в общедоступном облаке. Благодаря ZPA приложения полностью невидимы для неавторизованных пользователей.
В ZPA связь между приложениями и пользователями осуществляется в соответствии со стратегией «наизнанку». Вместо расширения сети для подключения пользователей (как это должно быть сделано при использовании VPN), пользователи никогда не находятся внутри сети. Этот подход существенно минимизирует риски, избегая распространения вредоносных программ и рисков перемещения внутри периметра. Кроме того, сфера применения ZPA не ограничивается веб-приложениями, а относится к любому частному приложению.
ZPA использует технологию микро-туннелей, которая позволяет сетевым администраторам сегментировать сеть по приложениям, устраняя необходимость сегментации в сети с помощью межсетевого экрана или списками управления доступом (ACL). В микро-туннелях используется шифрование TLS и пользовательские закрытые ключи, которые усиливают безопасность при доступе к корпоративным приложениям.
Благодаря усовершенствованным API и ML (машинное обучение), ZPA позволяет ИТ-отделам автоматизировать механизмы нулевого доверия, обнаруживая приложения и создавая для них политики доступа, а также автоматически создавая сегментацию для каждой отдельной рабочей нагрузки приложения.
3. Cloudflare Access
Сетевая служба нулевого доверия Cloudflare поддерживается частной сетью с точками доступа, распределенными по всему миру. Это позволяет ИТ-отделам обеспечивать высокоскоростной и безопасный доступ ко всем ресурсам организации - устройствам, сетям и приложениям.
Сервис Cloudflare заменяет традиционные, ориентированные на сеть периметры безопасности, используя вместо этого безопасный доступ на близком расстоянии, обеспечивающий оптимальную скорость распределенных рабочих групп.
Доступ Cloudflare с нулевым доверием управляет общими приложениями в организации, проверяя подлинность пользователей через собственную глобальную сеть. Это позволяет ИТ-менеджерам регистрировать каждое событие и каждую попытку доступа к ресурсу. Кроме того, это упрощает поддержку пользователей и добавление новых пользователей.
С помощью Cloudflare Access организация может поддерживать свои идентификационные данные, поставщиков защиты, состояние устройств, требования к местоположению каждого приложения и даже существующую облачную инфраструктуру. Для контроля идентичности Cloudflare интегрируется с Azure AD, Okta, Ping и устройством с Tanium, Crowdstrike и Carbon Black.
Cloudflare предлагает бесплатную версию своего сервиса, которая предоставляет основные инструменты и позволяет защитить до 50 пользователей и приложений. Для большего числа пользователей или приложений, а также чтобы воспользоваться другми преимуществами, вроде круглосуточной поддержки по телефону и чату, следует выбрать платные версии.
4. Wandera
Сетевое решение Wandera Private Access с нулевым доверием обеспечивает быстрый, простой и безопасный удаленный доступ к приложениям организации, независимо от того, работают ли они в SaaS или развернуты внутри организации. Сервис отличается своей простотой, процедурами установки, которые могут быть выполнены за считанные минуты и не требуют специализированного оборудования, сертификатов или масштабирования.
Wandera Private Access предлагает гибкость распределенным рабочим группам, работающим на разнородных платформах, с управляемыми или личными устройствами (BYOD). Решение обеспечивает видимость доступа к приложениям в реальном времени, идентификацию теневых ИТ-отделов и автоматическое ограничение доступа с зараженных или небезопасных устройств благодаря политике доступа на базе учета рисков.
С помощью Wandera Private Access можно реализовать модели безопасности, ориентированные на идентификацию, гарантируя, что только авторизованные пользователи смогут подключаться к приложениям организации. Использование микротуннелей на основе приложений связывает пользователей только с приложениями, к которым они имеют право доступа. Применение политики безопасности остается согласованным во всех инфраструктурах, будь то облачные приложения, центры обработки данных или приложения SaaS.
Система защиты Wandera работает от интеллектуального механизма обнаружения угроз под названием MI: RIAM. Этот двигатель ежедневно снабжается информацией, предоставляемой 425 миллионами мобильных датчиков, что обеспечивает защиту от самого широкого спектра известных угроз и угроз нулевого дня.
5. Okta
Okta предлагает модель безопасности с нулевым доверием, которая охватывает широкий спектр услуг, включая защиту приложений, серверов и API; унифицированный и безопасный доступ пользователей к интерактивным и облачным приложениям; адаптивная, контекстно-зависимая, многофакторная аутентификация и автоматическое отключение для уменьшения рисков для бесхозных учетных записей.
Универсальная служба каталогов Okta обеспечивает единое консолидированное представление каждого пользователя в организации. Благодаря интеграции групп пользователей с AD и LDAP, а также связям с системами HR, приложениями SaaS и сторонними поставщиками удостоверений, Okta Universal Directory интегрирует всех типов пользователей, будь то сотрудники компании, партнеры, подрядчики или клиенты.
Okta выделяется своей службой защиты API, поскольку API рассматриваются как новая форма теневых ИТ. Управление доступом к API Okta сокращает время планирования и применения политик на основе XML до нескольких минут, облегчая ввод новых API и интеграцию с партнерами для использования API. Механизм политики Okta позволяет внедрять передовые практики в области безопасности API, легко интегрируясь с фреймворками идентификации вроде OAuth. Политики авторизации API создаются на основе приложений, пользовательского контекста и членства в группах для обеспечения доступа к каждому API только нужных пользователей.
Интеграционная сеть Okta позволяет избежать блокировки поставщиков, предоставляя организациям свободу выбора из более чем 7000 встроенных интеграций с облачными и готовыми системами.
6. CrowdStrike Falcon
Решение CrowdStrike Falcon Identity Protection с нулевым доверием быстро останавливает нарушения безопасности из-за скомпрометированных учётных записей, защищая учетные записи всех пользователей, расположений и приложений в организации с помощью политики нулевого доверия.
Программа Falcon Identity Protection направлена на сокращение затрат и рисков и повышение окупаемости инвестиций используемых инструментов за счет снижения требований к инженерным ресурсам и устранения избыточных процессов обеспечения безопасности.
Унифицированный контроль всех учетных записей упрощает реализацию стратегий условного доступа и адаптивной аутентификации, а также обеспечивает более высокий уровень обслуживания пользователей и более широкий охват многофакторной аутентификации (MFA) даже для устаревших систем.
Решение для удаленного доступа CrowdStrike обеспечивает полную видимость активности аутентификации всех учетных записей и конечных точек, предоставляя, среди прочего, данные о местоположении, источнике/назначении, типе входа (учетная запись человека или службы). В свою очередь, он защищает сеть от инсайдерских угроз, таких как устаревшие привилегированные учетные записи, неправильно назначенные учетные записи служб, ненормальное поведение и полномочия, скомпрометированные атаками продвижения внутри периметра.
Благодаря интеграции с существующими решениями по обеспечению безопасности развертывание Falcon Identity Protection осуществляется в минимальные сроки и без усилий. Помимо прямой интеграции с решениями безопасности для критически важных активов, таких как CyberArk и Axonius, CrowdStrike предлагает высокопроизводительные API, которые позволяют компаниям интегрировать практически с любой системой.
Заключение
Новая норма, похоже, останется, и ИТ-администраторам нужно привыкнуть к ней. Удаленная работа будет оставаться повседневной реальностью, и сети организации больше никогда не будут иметь четко определенных границ.
В этом контексте ИТ-администраторы должны как можно скорее внедрить сетевые и прикладные решения с нулевым доверием, если они не хотят подвергать риску самые ценные цифровые активы своих организаций.