Unix,Cisco,TCP/IP,Security

Farrokhi B.Network Administration with FreeBSD

Babak Farrokhi is an experienced UNIX system administrator and Network
Engineer who worked for 12 years in the IT industry in carrier-level network service
providers. He discovered FreeBSD around 1997 and since then he has been using it
on a daily basis. He is also an experienced Solaris administrator and has extensive
experience in TCP/IP networks.

Cкачать: book.pdf

Author(s): Randy Cook (Editor), Ido Dubrawsky, F. Williams Lynch, Ed Mitchell, Wyman Miles

ISBN(s): 192899444X

Publisher(s): Syngress, 2001

Two of Sun Solaris’s prime attractions are its reliability and the high availability of servers running it. These advantages can be, however, negated by carelessness. Forget to apply a patch, or neglect to synchronize your servers’ system clocks, and someone who’s paying more attention will exploit the holes you’ve left in your system. The authors of Hack Proofing Sun Solaris 8 teach you how to run Solaris with flair. They show you how to implement wise security rules and implement popular services—like Common Gateway Interface (CGI) scripts—with a focus on improving security without reducing function. Most of the advice here has to do with Solaris boxes as Web servers, mail servers, and firewalls.

A lot of the authors’ advice will be familiar to readers who have done security work before—their advice to disable all nonessential services, for example, falls into this category. Other information, such as the particular syntax of Solaris’s native security utilities and third-party programs that are designed for Solaris, is very handy. It’ll prove especially nice for people coming to Solaris from security administration on other operating systems. The organizational approach balances quick reference—the ability to quickly locate some detail via the index—with informative background that will help you head off emerging, undocumented attacks. There aren’t many earth-shaking revelations in this book, but it contains good documentation of Solaris security tools and procedures.

Topics covered: Sun Solaris 8 defensive policies and procedures. Native Solaris tools (like audit log) are documented, as are outside tools like Snort. There’s advice on setting user and file permissions, and hints on how to configure network services like HTTP, SMTP, DHCP, and network address translation (NAT) in a secure way. Caching with Squid gets attention, too.

Скачать: 192899444X.pdf 9.8 mb

1. Перегрузить маршрутизатор
2. Нажать Ctrl + Break в первые 20 секунд загрузки (возможно 40)
rommon>confreg 0×2142
rommon>i
router>en
router#copy start run
router#conf t
router(conf)#enable secret cisco
router(conf)#config-register 0×2102
router(conf)#int fa0/0
router(conf-if)#no shutdown
router(conf-if)#end
router#copy run start

Коммутаторы Catalyst серий 2900/2950/2960/3500/3550/

1. При нажатой кнопке выбора режима (mode) вставить шнур питания (Не отпускать кнопку, до тех пор, пока индикатор над портом 1, не будет гореть, как минимум 2 секунды)
2. ввести команду

flash_init

3. ввести команду

load_helper

4. переименовываем файл config.text

rename flash:config.text flash:config.old

1. продолжить процесс загрузки

boot

1. Отказываемся от входа в режим настройки
2. Переходим в пользовательский режим (Enter)
3. Переходим в привилегированный режим

enable

1. Возвращаем имя ранее переименованному файлу

rename flash:config.old flash:config.text

1. Загружаем в running-config конфигурационный файл

copy startup run

1. входим в конфигурационный режим

conf t

1. меняем пароль
2. сохраняем конфигурацию

copy run startup

[править] Восстановление IOS

rommon>IP_ADDRESS=
rommon>IP_SUBNET_MASK=
rommon>DEFAULT_GATEWAY=
rommon>TFTP_SERVER=
rommon>TFTP_FILE=c2600-ipbasek9-mz.124-13b.bin
rommon>set
rommon>tftpdnld
rommon>i

Ошибки доступа к памяти вызывающие нестабильную работу маршрутизаторов и зачастую приводят к самопроизвольным перезагрузкам роутера. Зачастую ошибки происходят, когда процессор пытается получить доступ к области памяти, которой не существует(программные ошибки — обычно вызваны из-за багов прошивки IOS) или области физической памяти не отвечающие корректно на запросы процессора(аппаратные ошибки) Ошибки шины данных(bus error), могут быть идентифицированы выводом команды show version и show technical−support. Важно чтобы после возникновения ошибки роутер не был перезгружен по питанию или командой reload.

При выполнении команды # show version

Router uptime is 2 days, 21 hours, 30 minutes
System restarted by bus error at PC 0x30EE546, address 0xBB4C4
System image file is «flash:igs−j−l.111−24.bin», booted via flash
………
Мы увидим в какой области памяти была зафиксирована ошибка.
Читать далее…

Оригинал: http://it-expert.com.ua/weblog/message/406/

Что же представляет собой netgraph?

Если в двух словах, то netgraph это как высокоуровневый Basic для
сетевых сервисов по сравнению с машинным кодом. Идеология netgraph
позволяет путем создания визуальных графов из «кубиков» протоколов,
портов и сервисов как бы строить взаимодействие сетевых компонентов
простым созданием связей между «кубиками». Читать далее…

Иван Скляров (www.sklyaroff.ru)

Сеть напоминает кровеносную систему, а движущиеся по ней пакеты сродни тромбоцитам, лейкоцитам и прочим клеткам крови. Однако не все, что плавает в крови, несет пользу. Периодически в кровь проникает зараза, которая стремится навредить или даже убить весь организм. Чтобы обнаружить и вовремя устранить заболевание, необходимо сдавать кровь на анализы. С аналогичной целью следует анализировать «сетевую кровь». Стандартным инструментом для такого анализа в *nix является утилита tcpdump.
Виртуозное владение опциями командной строки

Утилита tcpdump представляет собой сетевой анализатор пакетов, разработанный Lawrence Berkeley National Laboratory. Если tcpdump запустить без каких-либо параметров, она будет перехватывать все сетевые пакеты и выводить о них информацию. С помощью параметра ‘-i’ можно указать сетевой интерфейс, с которого следует принимать данные:

# tcpdump -i eth2
Читать далее…

Данная книга содержит важную для практического применения информацию об операционной системе маршрутизаторов Cisco — Internetwork Operating System (IOS). Программное обеспечение IOS предоставляет средства, с помощью которых сетевые профессионалы конфигурируют устройства Cisco и управляют ими. Понимание структуры команд Cisco IOS, а также осмысление того, что происходит внутри маршрутизатора, поможет вам как дизайнеру или администратору сети выполнять свою работу более эффективно. Знание внутренних принципов работы операционной системы IOS поможет вам учитывать тонкости аппаратной структуры необходимых устройств в процессе разработки сети, а также облегчит поиск и устранение неисправностей в будущем. В данной книге изложена вся необходимая информация о внутренней структуре ОС IOS.

Эта книга начинается с обзора основных концепций операционных систем и рассмотрения инфраструктуры ОС IOS: процессов, управления памятью, планировщика задач, буферов пакетов и драйверов устройств. Затем более подробно рассматриваются различные аппаратно-зависимые методы коммутации: программная коммутация, быстрая коммутация, оптимальная коммутация и протокол Cisco Express Forwarding (CEF). Вы также познакомитесь с особенностями аппаратной реализации и принципов работы различных платформ, а именно устройств серий 1600, 2500, 4×00, 3600, 7200,7500 и маршрутизаторов серии Cisco GSR. Завершает книгу описание технологий QoS, а также информация о различных методах реализации качества обслуживания: приоритетная очередность, взвешенная справедливая очередность, метод настраиваемой очереди и механизм циклически изменяемого дефицита.
- Предотвратите возникновение проблем в сети и оптимизируйте ее производительность за счет более рационального дизайна и конфигурирования
- Изолируйте и решите проблему в сети наиболее быстрым и эффективным способом
- Примените наиболее подходящий в вашей сети метод коммутации пакетов: программная коммутация, быстрая коммутация, оптимальная коммутация и CEF
- Изучите особенности аппаратной структуры, буферизации пакетов и методов коммутации пакетов в маршрутизаторах с разделяемой памятью (устройства Cisco серий 1600, 2500, 3600, 4000, 4500. 4700)
- Изучите особенности аппаратной структуры, буферизации пакетов и методов коммутации пакетов в маршрутизаторах Cisco серии 7200
- Изучите особенности аппаратной структуры, структуры карт VIP и методов коммутации пакетов в маршрутизаторах Cisco серии 7500
- Изучите особенности аппаратной структуры, буферизации пакетов и методов коммутации пакетов в маршрутизаторах Cisco серии GSR 7200
- Расширьте свои познания о методах реализации технологии качества обслуживания (QoS) ОС IOS

Данная книга входит в серию Cisco CCIE Professional Development, которая дает профессионалам цепную информацию для построения реально действующих сетей, понимания новых технологий и успешного управления сетями любой сложности, а также помашет подготовиться к сдаче сертификационного экзамена CCIE.

Программа CCIE и Cisco Press

Усилия корпорации Cisco по подготовке компетентных специалистов для сетевых операционных центров (NOC) и профессионалов в области информационных технологий (ИТ) воплощены в рамках программы Cisco Certified Internetwork Expert (CCIE). В целях развития данной программы Cisco Press активно сотрудничает с руководством программы CCIE в области создания информационных продуктов, которые бы помогли расширению и углублению знаний специалистов в области ИТ, а также предоставили самую свежую и точную информацию о современных технологиях, знание которых необходимо для профессионалов CCIE.
Издания серии CCIE Professional Development основаны на базовых принципах программы CCIE. Данная серия состоит из книг описывающих специфические технологии, которые необходимы как для тех кто планирует получить сертификат CCIE, так и для профессионалов в области ИТ.

Скачать: Struktura.operatsionnoi.sistemy.Cisco.IOS.rar

Брайан Хилл

Эта книга позволяет достичь полного понимания технологий Cisco, чаще всего применяемых в сетях основных типов. Без этого невозможно выполнять настройку конфигурации, проектировать и устранять нарушения в работе сетей самых различных типов, созданных на основе продуктов Cisco. В ней подробно рассматриваются протоколы локальной и распределенной сети, а также наборы протоколов общего назначения, в том числе TCP/IP.

В книге дано описание большинства существующих в настоящее время сетевых продуктов Cisco и приведены справочные таблицы с краткими сведениями о характеристиках устройств. Описаны технологии коммутации Cisco, применяемые в локальной сети, раскрыты такие темы, как настройка конфигурации виртуальной локальной сети, применение алгоритма STP и метода MLS, принципы организации очередей и средства коммутации SLB. Рассматриваются все главные внутренние маршрутизирующие протоколы, включая RIP, EIGRP и OSPF. Представлены 540 команд IOS, применяемых почти на любом устройстве Cisco

Скачать: Polnyy_spravochnik_po_Cisco._Brayan_Hill_.part1.rar 95.8M
Polnyy_spravochnik_po_Cisco._Brayan_Hill_.part2.rar 44.8M

Сегодня вышла новая версия ядра Linux — 2.6.29, как обычно включающая множество новшеств и улучшений.

Основные изменения:

* Файловые системы

1. Новая экспериментальная файловая система Btrfs

2. Read-only файловая система SquashFS включена в ядро (сжатие по алгоритму LZMA пока не поддерживается)

3. OCFS2 теперь поддерживает ACL, атрибуты безопасности, квоты и проверку целостности метаданных

4. Возможность «замораживать» файловую систему (например для снятия резервной копии)

5. Множество небольших улучшений ext4, в том числе

1. Добавлена опция, позволяющая выключить журналирование (при этом производительность становится выше даже чем у ext2)

2. В документацию добавлена информация о барьерах записи

3. Исправлены многие ошибки и улучшена производительность

* Графическая подсистема

1. Механизм смены видеорежимов средствами ядра — Kernel-based mode setting (KMS)

2. Улучшения в Graphics Execution Manager (GEM)

* Множество улучшений в управлении питанием (в т.ч. новые драйвера для различных моделей ноутбуков)

* Сеть

1. Стек mac80211 готов к поддержке режима точки доступа (для работы требуется hostapd)

2. Поддержка стека WiMAX, а так же драйверов для USB/SDIO карт Intel Wireless WiMAX/Wi-Fi Link 5×50

3. Поддержка инфраструктуры Generic Receive Offload (GRO) для драйверов LAN

* Аудио

1. Драйвер для кодеков HD Audio разделён на несколько частей (для различных вариантов кодека от разных производителей), теперь конкретная версия кодека должна определяться автоматически

2. Поддержка вывода аудио через HDMI на чипсетах от Intel и NVidia

3. Множество новых драйверов для вывода звука в «системах на кристалле» (System on Chip — SoC)

4. Управление питанием для AC97 и HD Audio

* Tux — толстый пингвин с утиным клювом — временно уступил пост официального талисмана Tuz’у — тасманскому дьяволу (только на один релиз)

Полный список изменений (а их очень много и они затрагивают почти все подсистемы ядра) можно прочитать здесь.

Увеличиваем максимальный размер памяти отводимой для TCP буферов:
(16Мб на порядок больше, чем нужно, следует экспериментальным путем подобрать
оптимальные значения, понеменогу увеличивая параметры заданные по умолчанию)

sysctl -w net.core.rmem_max = 16777216
sysctl -w net.core.wmem_max = 16777216

Увеличиваем лимиты автотюнинга (min, default, max bytes)

sysctl -w net.ipv4.tcp_rmem = «4096 87380 16777216″
sysctl -w net.ipv4.tcp_wmem = «4096 65536 16777216″

Увеличиваем размер очереди пакетов на сетевом интерфейсе, особенно полезно для Gigabit Ethernet:

ifconfig eth0 txqueuelen 1000

Особенности Linux ядра 2.4.x:
Для предотвращения особенности при уменьшении размера окна, из-за повторов передеачи пакетов,
для одного соединения, уменьшать на 10 минут размер окна для всех остальных соединений к тому же хосту:

sysctl -w net.ipv4.route.flush=1

Особенности Linux ядра 2.6.x:

Запрещаем кеширование статуса ssthresh (были ретрансмиты) для других соединений

sysctl -w net.ipv4.tcp_no_metrics_save = 1

Рекомендуется увеличить размер backlog до 1000 или выше
(для 10Gb линка можно поставить 30000):

sysctl -w net.core.netdev_max_backlog = 2500

Начиная с ядра 2.6.13 можно менять алгоритм обработки ситуации перегрузки:

sysctl -w net.ipv4.tcp_congestion_control=htcp
reno: традиционный TCP
bic: BIC-TCP (для высокоскоростных сетей, быстрое восстановление после потери)
highspeed: HighSpeed TCP: Sally Floyd’s suggested algorithm
htcp: Hamilton TCP (для высокоскоростных сетей)
hybla: для спутниковых линков
scalable: Scalable TCP
vegas: TCP Vegas
westwood: для сетей с большой потерей пакетов
Когда стандартный reno не устраивает рекомендуется попробовать bic или htcp.

Значения параметров тюнинга подробно описаны в документе ip-sysctl.txt в комплекте ядра:

http://www-didc.lbl.gov/TCP-tuning/ip-sysctl-2.6.txt