Unix,Cisco,TCP/IP,Security

Источник: subnets.ru

AS100 — наш номер ASки

5.5.0.0/20 — анонсируемый нами префикс (наш блок адресов)

AS200 — наш апстрим, который отдает нам full-view (полную таблицу маршрутов)

AS300 — наш privat peer (приватный пир), который отдает нам маршруты в свою AS и своего клиента AS400.

С чего начать ?

С настройки интерфейсов конечно.

GigabitEthernet3/0 — AS200

GigabitEthernet3/1 — AS300

Зайдите на router телнетом и перейдите в enable режим.

cisco# conf t
cisco(config)# interface GigabitEth
cisco(config-if)# ip address 1.1.1.2 255.255.255.252
cisco(config-if)# interface GigabitEthernet3/1
cisco(config-if)# ip address 2.2.2.10 255.255.255.252
cisco(config-if)# exit

Добавим маршруты, сначала отправим туда, откуда не возвращаются :), маршруты в “серые сети”:

cisco(config)# ip route 10.0.0.0 255.0.0.0 Null0 254
cisco(config)# ip route 172.16.0.0 255.240.0.0 Null0 254
cisco(config)# ip route 192.168.0.0 255.255.0.0 Null0 254

Затем добавим маршрут на свой полный блок:

cisco(config)# ip route 5.5.0.0 255.255.240.0 Null0 254

Читать далее…

Настройка KOI8-R:

vi /etc/rc.conf
keymap=»ru.koi8-r»
font8x8=»cp866-8×8″
font8x14=»cp866-8×14″
font8x16=»cp866b-8×16″
scrnmap=»koi8-r2cp866″
cursor=»destructive»

Заменить все cons25 на cons25r в /etc/ttys:

vi /etc/ttys
:%s/cons25/cons25r/g

kill -HUP 1

(чтобы перечитался /etc/ttys)

/etc/rc.d/syscons restart

pw usermod root -L russian
(выполнить для всех имен пользователей кому нужен русский, если вы ходите
на сервер только удаленно по ssh/telnet, то можно выполнить только этот шаг для настройки
поддержки русского языка KOI8-R в системе)

Настройка UTF-8 (для работы с удаленного терминала):

В /etc/login.conf добавляем:

russian-utf8|Russian Users Accounts:\
:charset=UTF-8:\
:lang=ru_RU.UTF-8:\
:lc_all=ru_RU.UTF-8:\
:tc=default:
Читать далее…

1. Enable CONFIG_NET_PKTGEN to compile and build pktgen.o either in kernel
or as module. Module is preferred. insmod pktgen if needed.

2. For montoring and control pktgen creates. Inspect them!
/proc/net/pktgen/pgctrl
/proc/net/pktgen/kpktgend_X
/proc/net/pktgen/ethX

3. Extract the example script «pktgen.sh» (see below).

4. Edit script to set preferred device and destination MAC, and IP address.

5. Run in shell: «./pktgen.sh»
It does all the setup including sending. Also

«echo «start» > /proc/net/pktgen/pgctrl» Starts sends on all threads and devs

Use
«cat /proc/pktgen/eth[X]» X={1,n} to inspect an interfacee.

7. Use «pgset» change pktgen settings. See examples.

«pgset» to change generator parameters. F.e.
pgset «clone_skb 1″ sets the number of copies of the same packet
pgset «clone_skb 0″ use single SKB for all transmits
pgset «pkt_size 9014″ sets packet size to 9014
pgset «frags 5″ packet will consist of 5 fragments
pgset «count 200000″ sets number of packets to send, set to zero
for continious sends untill explicitly
stopped.
pgset «ipg 5000″ sets artificial gap inserted between packets
to 5000 nanoseconds
pgset «dst 10.0.0.1″ sets IP destination address
(BEWARE! This generator is very aggressive!)
pgset «dst_min 10.0.0.1″ Same as dst
pgset «dst_max 10.0.0.254″ Set the maximum destination IP.
pgset «src_min 10.0.0.1″ Set the minimum (or only) source IP.
pgset «src_max 10.0.0.254″ Set the maximum source IP.
pgset «dstmac 00:00:00:00:00:00″ sets MAC destination address
pgset «srcmac 00:00:00:00:00:00″ sets MAC source address
pgset «src_mac_count 1″ Sets the number of MACs we’ll range through. The
‘minimum’ MAC is what you set with srcmac.
pgset «dst_mac_count 1″ Sets the number of MACs we’ll range through. The
‘minimum’ MAC is what you set with dstmac.
pgset «flag [name]» Set a flag to determine behaviour. Current flags
are: IPSRC_RND #IP Source is random (between min/max),
IPDST_RND, UDPSRC_RND,
UDPDST_RND, MACSRC_RND, MACDST_RND
pgset «udp_src_min 9″ set UDP source port min, If < udp_src_max, then
cycle through the port range.
pgset «udp_src_max 9″ set UDP source port max.
pgset «udp_dst_min 9″ set UDP destination port min, If < udp_dst_max, then
cycle through the port range.
pgset «udp_dst_max 9″ set UDP destination port max.
pgset stop aborts injection

Also, ^C aborts generator.

Читать далее…

Оригинал: http://f0kp.iplus.ru/proj/fb15.html

                    Обновление коллекции портов

   Вам необходимо установить cvsup. Проверьте установлена она у вас или
   нет, следующей командой:
user@host#which cvsup

   она должна выдать что-то вроде этого: '/usr/local/bin/cvsup'
   Если нет, перейдите в директорию портов и установите cvsup.

   Затем вам необходимо создать sup-файл.
   Вы можете найти пример в /usr/share/examples/cvsup/ports-supfile

   это моя версия:

*default tag=.
*default host=cvsup.nl.freebsd.org
*default prefix=/usr
*default base=/usr
*default release=cvs delete use-rel-suffix compress
ports-all

   Вставьте вышеприведенный текст в файл, названный 'supfile'.
   Теперь вы можете обновить коллекцию портов, введя (из под root):

   cvsup supfile

   Затем сидити и ждите, ждите, ждите (это может занять много времени)

Understanding Router Pieces and Parts

Consider the following components required to switch a packet:

• Some device detects packets that the router needs to receive (pick up off the wire) and process.

• The packet needs to be stored (copied someplace in the router’s memory).

• The packet’s header must be examined (by the local packet psychologist to see whether the packet is

crazy), various options and fields within the packet (such as the Time to Live field) must be processed,

and the Layer 2 header needs to be replaced with the correct Layer 2 header for the next hop of the

packet’s journey.

• The packet must then be given to some device on the outbound interface that will transmit it onto the

correct network segment.

Each of these four steps must be performed by some piece of hardware or software within the router.

Most routers use the following fundamental pieces of hardware while switching packets:

book.rar

Rusty Russell, mailing list netfilter@lists.samba.orgv1.0.1 Mon May
1 18:09:31 CST 2000 перевод, Евгений Данильченко aka virii5, eugene@kriljon.ru

Этот документ описывает как можно использовать iptables для фильтрования пакетов
в 2.4 Linux ядрах.

• 1.Введение
• 2.Наш официальный Web-сайт. Наш лист рассылки.
• 3.Что такое — фильтр пакетов?
  • 3.1 Почему я должен использовать фильтр пакетов?
  • 3.2 Как я могу сделать фильтрование пакетов в Linux?
• 4.Кто ты такой и почему ты роешься в моем ядре?
• 5.Краткая инструкция по использованию фильтра пакетов от Rusty
• 6.Как пакеты проходят фильтры
• 7.Применение iptables
  • 7.1 Что вы видите когда ваш компьютер грузится
  • 7.2 Работа с одним правилом
  • 7.3 Спецификации фильтра
  • 7.4 Спецификации цели
  • 7.5 Работа со всей цепочкой правил
• 8.Применение ipchains и ipfwadm
• 9.Совместная работа NAT и фильтра пакетов
• 10.Различия между iptables и ipchains
• 11.Советы по организации правил для фильтра пакетов

1. Введение

Добро пожаловать, уважаемый читатель.

Предполагается что вы уже знакомы с такими понятиями как IP адрес, адрес сети,
маска, роутинг и DNS. Если нет, я рекомендую вам ознакомиться сперва с Network
Concepts HOWTO.

Это HOWTO начинается с легкого введения (которое оставит у вас чувство тепла
и неясности, и совсем незащищенным в реальной жизни) и заканчивается жестким разоблачением
(которое оставит всех, кроме крутых профи, запутанными, панически ищущими что-нибудь
потяжелее ;) )

Выша сеть не безопасна. Проблема в том чтобы разрешить быстрые, удобные
связи и в то же время, ограничить использование их только в хороших намерениях…
это приблизительно как разрешить обычный разговор и в то же время запретить кричать
«Пожар!» в переполненном театре. Так вот, — эта ваша проблема не ставится задачей
этого HOWTO.

Итак, только вы сами можете решить свои проблемы. Я только помогу вам в использовании
некоторых утилит и предупрежу о некоторых уязвимостях, в надежде что вы используете
это не с плохими намерениями.
2. Наш официальный Web-сайт. Наш лист рассылки.

Существуют три наших официальных сайта:

• Спасибо Filewatcher.
• Спасибо The Samba Team and SGI.
• Спасибо Jim Pick.

Официальный лист рассылки: Samba’s Listserver.
3. Что такое — фильтр пакетов?

Фильтр пакетов это программа которая просматривает заголовки пакетов
по мере их прохождения, и решает дальнейшую судьбу всего пакета. Фильтр может
сбросить DROP пакет (т.е. как будто пакет и не приходил вовсе), принять

ACCEPT пакет (т.е. пакет может пройти дальше), или сделать с ним что-то
еще более сложное.

Под Linux, фильтр пакетов встроен в ядро (как модуль, или как неотъемлемая
часть ядра), и мы можем делать с пакетами несколько хитроумных вещей, но основной
принцип в просмотре заголовков пакетов и решении их дальнейшей судьбы сохраняется.
3.1 Почему я должен использовать фильтр пакетов? Читать далее…

Для мониторинга geom raid в операционной системе FreeBSD, утсановим пакет net-snmp

# cd /usr/ports/net-mgmt/net-snmp
# make install

Для автоматического запуска snmpd /etc/rc.conf прописываем:
snmpd_enable=»YES»
snmpd_conffile=»/usr/local/etc/snmp/snmpd.conf»

Настраиваем минимальный конфиг:
passwd — это название community по которому можно получать информацию с сервера.
/usr/local/etc/snmp/snmpd.conf
syslocation «DC1″
syscontact admin@admin.com
sysservices = 79
rwuser passwd noauth
rocommunity passwd
rwcommunity passwd
trapsink localhost passwd
trap2sink localhost passwd
informsink localhost passwd
trapcommunity passwd
authtrapenable 2

Важный момент прописываем в конфиг execute

exec gmirror /usr/local/sbin/checkgmirror
Создаем скрипт проверяющий статус RAID:

/usr/local/sbin/checkgmirror

#!/bin/sh

mirrorstate=`/sbin/gmirror list | /usr/bin/grep ^State |\
/usr/bin/awk ‘{print $2}’`

if [ $mirrorstate != "COMPLETE" ]
then
echo «1″
else
echo «0″
fi

Добавляем строку в snmpd.conf

exec gmirror /usr/local/sbin/checkgmirror

Прописываем в конфиг сервера в nagios:

define service{
use srv-service
host_name namehost
service_description RAID STATE
check_command check_snmp_oid!.1.3.6.1.4.1.2021.8.1.101.1!passwd!1!0!STAT!2c
contact_groups admins
notification_options c,r
}

Теперь при сбое рэйда скрипт вернет 1 и нагиос отработает событие critical, о котором мы будем извещены.

guthleifr

Для чего может понадобиться создавать програмный зеркальный RAID на сервере  — многие RAID контролеры интегрированные в материнские платы попросту не потдерживаются FreeBSD, даже если они и потдерживаются  то зачастую не имеют никаких средств мониторинга состояния RAID, тоже касается и аппаратных рэйд контролеров. Например аппаратный  RAID-контроллер Intel® SRCSATAWB имеет драйвера и утилиты только под windows и linux, хотя он и потдерживается последними релизами FreeBSD, но не имеет утилит с помощью которых можно было проводить мониторинг состояния дисков. А это обозначает, что мы узнаем о крахе дисков, когда  наш сервер выйдет из строя и смысл такого рейда попросту теряется.

Приступим к созданию програмного RAID:

Имеется два одинаковых по размеру диска, будет хорошо если диски будут одинаковой модели.

/dev/ad0 и /dev/ad1

Делаем разбивку на партиции и устанавливаем ОС на первый жесткий диск ad0(названия дисков в вашей системе могут отличаться в зависимости от типа используемых дисков IDE,SATA,SCSI,SAS)
Читать далее…

Начнём с того, что методы, которыми можно получить несанкционированный доступ к серверам с целью пуска распределённой атаки , очень и очень разнообразны. Вообще не существует стандартизированного и общего метода защиты от данного класса атак, но с другой стороны, существует ряд мер по улучшению безопасности, который просто необходимо принять. Ниже следует их краткий список:

1) Не поддавайтесь панике. Прошлые атаки как правило были направлены на создание панической обстановке в связи с типом целей, на которые они были направлены. Очень важно понять, что только довольно малый список компаний и серверов должны всерьёз вопринимать возможность distributed DoS. В этот список входят популярные сайты, включающие развитые популярные поисковые машины, центры e-Commerce, крупные и популярные IRC-сервера или же новостные ленты. Иначе говоря, если Ваша любимая страница не имеет бболее 10000 посещений в день или же тысячного дневного оборота в случае, если это электронный магазин, Вам можно беспокоиться в меньшей степени.

2) Скоординируйте действия с Вашим Internet-провайдером. Очень важно, чтобы вы имели связь и поддержку со стороны тех, кто предоставляет Вам услуги хостинга. Общая пропускная спокобность каналов, задействованных в распределённой атаке так велика, то Ваша подсеть скорее всего не сможет выдержать нагрузки. Обязательно выясните у Вашего ISP, могут ли они примениьт род контроля, который ограничит суммарный объём входящего к Вам траффика, ссмогут ли они бороться уже на своих роутерах с огромным числом пакетов, имеющих поддельный (spoofed) обратный адрес. В идеальной ситуации, Ваш ISP должен предоставить Вам статистикуу или же дать доступ к роутерам в случае надвигающейся атаки.

3) Оптимизируйте структуру роутинга в вашей сети. Если у вас не один хост, но большая сеть, вам лучше произвести необходимую настройку роутеров чтобы минимизировать последствия DoS-атаки. Чтобы предотвратить SYN-флуд, обеспечьте надлежащую настройку Вашего файлвола (довольно подробную документацию самой компании СISCO, посвящённую этому вы можете так же прочитать на VOID.RU. Обеспечьте фильтрацию, к примеру, UDP, IGMP, ICMP-траффика (то есть тех протоколов, которые не являются необходимыми для нормального функционирования Вашей сети). Запретите ИСходящий ICMP-unreach траффик (таким траффиком Ваши хосты будут отвечать на ICMP-флуд).
Читать далее…

Оригинал: http://www.ctpahhuk.ru/content/view/45/52/

В статье рассматривается создание отказоустойчивого кластера для работы с биллинговой системой NetUP UTM на базе двух физических серверов. В качестве операционной системы используется FreeBSD. База данных mysql. Создание отказоустойчивого кластера для биллинговой системы на базе Gentoo Linux подробно рассматривается в соответствующей статье на сайте компании NetUP. [1]

Рисунок 1. Схема кластера.

Поскольку у меня объем трафика довольно большой, для избежания потерь данных о трафике, NetFlow поток передается и принимается в отдельной подсети и выделенных под это отдельных физических интерфейсах. Физические интерфейсы em0,em1 и em2 имеют общие IP-адреса по которым доступен кластер. В случае выходя из строя сервера, либо проблем на любом из этих трех интерфейсах, резервный сервер забирает на себя функции мастера и соответствующие IP-адреса назначаются его интерфейсам.

Данная система построена на базе протокола CARP (Common Address Redundancy Protocol — протокол избыточности общего адреса)[2]

Читать далее…