Unix,Cisco,TCP/IP,Security

Для чего может понадобиться создавать програмный зеркальный RAID на сервере  — многие RAID контролеры интегрированные в материнские платы попросту не потдерживаются FreeBSD, даже если они и потдерживаются  то зачастую не имеют никаких средств мониторинга состояния RAID, тоже касается и аппаратных рэйд контролеров. Например аппаратный  RAID-контроллер Intel® SRCSATAWB имеет драйвера и утилиты только под windows и linux, хотя он и потдерживается последними релизами FreeBSD, но не имеет утилит с помощью которых можно было проводить мониторинг состояния дисков. А это обозначает, что мы узнаем о крахе дисков, когда  наш сервер выйдет из строя и смысл такого рейда попросту теряется.

Приступим к созданию програмного RAID:

Имеется два одинаковых по размеру диска, будет хорошо если диски будут одинаковой модели.

/dev/ad0 и /dev/ad1

Делаем разбивку на партиции и устанавливаем ОС на первый жесткий диск ad0(названия дисков в вашей системе могут отличаться в зависимости от типа используемых дисков IDE,SATA,SCSI,SAS)
Читать далее…

Начнём с того, что методы, которыми можно получить несанкционированный доступ к серверам с целью пуска распределённой атаки , очень и очень разнообразны. Вообще не существует стандартизированного и общего метода защиты от данного класса атак, но с другой стороны, существует ряд мер по улучшению безопасности, который просто необходимо принять. Ниже следует их краткий список:

1) Не поддавайтесь панике. Прошлые атаки как правило были направлены на создание панической обстановке в связи с типом целей, на которые они были направлены. Очень важно понять, что только довольно малый список компаний и серверов должны всерьёз вопринимать возможность distributed DoS. В этот список входят популярные сайты, включающие развитые популярные поисковые машины, центры e-Commerce, крупные и популярные IRC-сервера или же новостные ленты. Иначе говоря, если Ваша любимая страница не имеет бболее 10000 посещений в день или же тысячного дневного оборота в случае, если это электронный магазин, Вам можно беспокоиться в меньшей степени.

2) Скоординируйте действия с Вашим Internet-провайдером. Очень важно, чтобы вы имели связь и поддержку со стороны тех, кто предоставляет Вам услуги хостинга. Общая пропускная спокобность каналов, задействованных в распределённой атаке так велика, то Ваша подсеть скорее всего не сможет выдержать нагрузки. Обязательно выясните у Вашего ISP, могут ли они примениьт род контроля, который ограничит суммарный объём входящего к Вам траффика, ссмогут ли они бороться уже на своих роутерах с огромным числом пакетов, имеющих поддельный (spoofed) обратный адрес. В идеальной ситуации, Ваш ISP должен предоставить Вам статистикуу или же дать доступ к роутерам в случае надвигающейся атаки.

3) Оптимизируйте структуру роутинга в вашей сети. Если у вас не один хост, но большая сеть, вам лучше произвести необходимую настройку роутеров чтобы минимизировать последствия DoS-атаки. Чтобы предотвратить SYN-флуд, обеспечьте надлежащую настройку Вашего файлвола (довольно подробную документацию самой компании СISCO, посвящённую этому вы можете так же прочитать на VOID.RU. Обеспечьте фильтрацию, к примеру, UDP, IGMP, ICMP-траффика (то есть тех протоколов, которые не являются необходимыми для нормального функционирования Вашей сети). Запретите ИСходящий ICMP-unreach траффик (таким траффиком Ваши хосты будут отвечать на ICMP-флуд).
Читать далее…

By Christopher Negus, Francois Caen
This handy, compact guide teaches you to use BSD UNIX systems as the experts do: from the command line. Try out more than 1,000 commands to find and get software, monitor system health and security, and access network resources. Apply the skills you learn from this book to use and administer servers and desktops running FreeBSD, OpenBSD, NetBSD, or any other BSD flavor.

Expand your BSD UNIX expertise in these and other areas:

* Using the shell
* Finding online software
* Working with files
* Playing with music and images
* Administering file systems
* Backing up data
* Checking and managing running processes
* Accessing network resources
* Handling remote system administration
* Locking down security

Скачать: book.pdf

Оригинал: http://www.ctpahhuk.ru/content/view/45/52/

В статье рассматривается создание отказоустойчивого кластера для работы с биллинговой системой NetUP UTM на базе двух физических серверов. В качестве операционной системы используется FreeBSD. База данных mysql. Создание отказоустойчивого кластера для биллинговой системы на базе Gentoo Linux подробно рассматривается в соответствующей статье на сайте компании NetUP. [1]

Рисунок 1. Схема кластера.

Поскольку у меня объем трафика довольно большой, для избежания потерь данных о трафике, NetFlow поток передается и принимается в отдельной подсети и выделенных под это отдельных физических интерфейсах. Физические интерфейсы em0,em1 и em2 имеют общие IP-адреса по которым доступен кластер. В случае выходя из строя сервера, либо проблем на любом из этих трех интерфейсах, резервный сервер забирает на себя функции мастера и соответствующие IP-адреса назначаются его интерфейсам.

Данная система построена на базе протокола CARP (Common Address Redundancy Protocol — протокол избыточности общего адреса)[2]

Читать далее…

Оригинал: http://dormestmass.blogspot.com/2007/08/df.html

В заголовке IP пакета имеется один интересный флаг -»don’t
fragment» или сокращенно DF. Назначение сего флага — запретить
разбивку пакета на фрагменты. Честно говоря, ситуации, когда
встречаются пакеты с этим флагом довольно редки, но они таки бывают и
могут надолго испортить настроение администратору/пользователю вот по
какой причине.

Различные технологии канального уровня предусматривают различный
размер MTU. И вполне естественно, что на пути следования трафика между
сервером и клиентом могут попадатся сегменты с разными размерами MTU.

На схеме ниже показана ситуация, когда клиент подключен к сети через
GRE-туннель, у которого размер MTU на 24 байта меньше, чем у
исходящего реального интерфейса. Клиент хочет произвести некий
обмен трафиком с удаленным сервером, а вот сервер выставляет этот
самый флаг на свои исходящие пакеты.

Происходит следующая ситуация. Во время установки TCP-сессии клиент и
сервер анонсируют свои максимальные размеры сегментов (maximum segment
size или MSS), показывая друг другу какие максимальные TCP сегменты
они могут принимать. После получения опций MSS устройства вычисляют
максимальный размер сегмента, который будет посылатся удаленной
стороне (Send Max Segment Size или SMSS). SMSS будет равен размеру
меньшего MSS. Процедура установки TCP MSS описана в RFC 879.
Читать далее…

Введение

Есть такая удобная штука как CDP ( Cisco Discovery Protocol ) — проприетарный протокол второго уровня модели OSI, разработанный компанией Сisco Systems, позволяющий обнаруживать подключенное (напрямую или через устройства первого уровня) сетевое оборудование Сisco, его название, версию IOS и IP-адреса.

Устройство посылает мультикаст анонс на MAC адрес 0100.0ccc.cccc. В конфигурации по-умолчанию анонсы рассылаются каждые 60 секунд на порты Ethernet, Frame Relay и ATM. Каждое устройство, понимающее протокол, сохраняет полученную информацию в таблице и позволяет посмотреть её по команде show cdp neighbours. Если устройство трижды не прислало анонс (при значениях по-умолчанию — 3 минуты), оно удаляется из таблицы. Возникло желание на оборудовании Cisco видеть, какие сервера FreeBSD и через какие сетевые карты подключены.
Практическая реализация Читать далее…

Уже несколько лет, посещая сайты хостеров, мы можем видеть предложения так называемых VPS (VDS). Но до сих пор у большинства понимание этой технологии поверхностное, а зачастую, даже ошибочное. В этой статье будет сделана попытка внести ясность и ответить на главные вопросы — что это такое? каким это бывает? и кому это нужно?

Прежде всего, давайте определимся — как мы это будем называть? Усилиями различных компаний, как разработчиков программного обеспечения, так и компаний, предлагающих эту услугу, было создано несколько названий по сути одного и того же. Итак, запомните, что:
VPS — Virtual Private Server (Виртуальный Собственный Сервер)
VDS — Virtual Dedicated Server (Виртуальный Выделенный Сервер)
DDS — Dynamic Dedicated Server (Динамический Выделенный Сервер)
на самом деле одно и то же и часто используется некоторыми компаниями для размежевания различных реализаций и предложений VPS.

Итак, что же это такое, VPS?

Если коротко — это разделение одного физического сервера на независимые друг от друга виртуальные сервера. Разделять можно как Unix, так и Windows системы. В чем же вся прелесть этого? В результате такого деления образуются самостоятельные выделенные сервера, физически размещенные на одном сервере. Итак,

• Каждый VPS имеет собственный дистрибутив операционной системы, в котором он имеет права уровня root (UID: 0) для Unix или Administrator для Windows , что позволяет компилировать, устанавливать собственное программное обеспечение с собственной конфигурацией.
• Каждый VPS может иметь один или несколько выделенных IP, через которые осуществляются входящие и исходящие соединения. Даже если на один VPS происходит DDOS атака, то на соседних это никак не отражается (надо заметить, что отражаться может, но по другим причинам, например, в случае, если общий канал к серверу узкий и пакеты атаки его полностью заполнят).
• Гарантированные минимальные ресурсы сервера. Вам никогда не скажут, что Вы расходуете больше ресурсов CPU или памяти, как это часто бывает на обычном виртуальном хостинге.
• Быстрая перезагрузка (ребут) виртуального сервера, возможность архивного копирования (бэкапа) VPS слепком всей системы.
• Большая стабильность в работе при более низкой стоимости.

Читать далее…