Unix,Cisco,TCP/IP,Security

Данный документ представляет собой достаточно подробное описание основных
аспектов внедрения технологии MPLS в сетях операторов для предоставления услу-
ги Виртуальная частная сеть и производных услуг. В документе подробно рассмат-
риваются вопросы, связанные с обоснованием выбора технологии MPLS-VPN; при-
ведены примеры решения услуг по построению интранет- и экстранет-сетей, рас-
смотрены вопросы, связанные с предоставлением внешних услуг, Интернет и сете-
вого управления, аспекты, связанные с обеспечением качества обслуживания и
трафик-инжиниринга, приведены различные варианты организации системы дос-
тупа и вопросы организации маршрутизации. Документ ориентирован на инже-
нерно-технический персонал, использующий или планирующий применение дан-
ной технологии в своей сети, сетевых дизайнеров и консультантов, чья область ин-
тересов распространяется на технологию MPLS.

Скачать: book.pdf

admin Полезные книги Cisco, MPLS, VPN

Для чего может понадобиться создавать програмный зеркальный RAID на сервере  – многие RAID контролеры интегрированные в материнские платы попросту не потдерживаются FreeBSD, даже если они и потдерживаются  то зачастую не имеют никаких средств мониторинга состояния RAID, тоже касается и аппаратных рэйд контролеров. Например аппаратный  RAID-контроллер Intel® SRCSATAWB имеет драйвера и утилиты только под windows и linux, хотя он и потдерживается последними релизами FreeBSD, но не имеет утилит с помощью которых можно было проводить мониторинг состояния дисков. А это обозначает, что мы узнаем о крахе дисков, когда  наш сервер выйдет из строя и смысл такого рейда попросту теряется.

Приступим к созданию програмного RAID:

Имеется два одинаковых по размеру диска, будет хорошо если диски будут одинаковой модели.

/dev/ad0 и /dev/ad1

Делаем разбивку на партиции и устанавливаем ОС на первый жесткий диск ad0(названия дисков в вашей системе могут отличаться в зависимости от типа используемых дисков IDE,SATA,SCSI,SAS)
Читать далее…

admin Администрирование freebsd, gmirror, RAID

Начнём с того, что методы, которыми можно получить несанкционированный доступ к серверам с целью пуска распределённой атаки , очень и очень разнообразны. Вообще не существует стандартизированного и общего метода защиты от данного класса атак, но с другой стороны, существует ряд мер по улучшению безопасности, который просто необходимо принять. Ниже следует их краткий список:

1) Не поддавайтесь панике. Прошлые атаки как правило были направлены на создание панической обстановке в связи с типом целей, на которые они были направлены. Очень важно понять, что только довольно малый список компаний и серверов должны всерьёз вопринимать возможность distributed DoS. В этот список входят популярные сайты, включающие развитые популярные поисковые машины, центры e-Commerce, крупные и популярные IRC-сервера или же новостные ленты. Иначе говоря, если Ваша любимая страница не имеет бболее 10000 посещений в день или же тысячного дневного оборота в случае, если это электронный магазин, Вам можно беспокоиться в меньшей степени.

2) Скоординируйте действия с Вашим Internet-провайдером. Очень важно, чтобы вы имели связь и поддержку со стороны тех, кто предоставляет Вам услуги хостинга. Общая пропускная спокобность каналов, задействованных в распределённой атаке так велика, то Ваша подсеть скорее всего не сможет выдержать нагрузки. Обязательно выясните у Вашего ISP, могут ли они примениьт род контроля, который ограничит суммарный объём входящего к Вам траффика, ссмогут ли они бороться уже на своих роутерах с огромным числом пакетов, имеющих поддельный (spoofed) обратный адрес. В идеальной ситуации, Ваш ISP должен предоставить Вам статистикуу или же дать доступ к роутерам в случае надвигающейся атаки.

3) Оптимизируйте структуру роутинга в вашей сети. Если у вас не один хост, но большая сеть, вам лучше произвести необходимую настройку роутеров чтобы минимизировать последствия DoS-атаки. Чтобы предотвратить SYN-флуд, обеспечьте надлежащую настройку Вашего файлвола (довольно подробную документацию самой компании СISCO, посвящённую этому вы можете так же прочитать на VOID.RU. Обеспечьте фильтрацию, к примеру, UDP, IGMP, ICMP-траффика (то есть тех протоколов, которые не являются необходимыми для нормального функционирования Вашей сети). Запретите ИСходящий ICMP-unreach траффик (таким траффиком Ваши хосты будут отвечать на ICMP-флуд).
Читать далее…

admin Администрирование ddos, icmp, IGMP, SYN-Flood

By Christopher Negus, Francois Caen
This handy, compact guide teaches you to use BSD UNIX systems as the experts do: from the command line. Try out more than 1,000 commands to find and get software, monitor system health and security, and access network resources. Apply the skills you learn from this book to use and administer servers and desktops running FreeBSD, OpenBSD, NetBSD, or any other BSD flavor.

Expand your BSD UNIX expertise in these and other areas:

* Using the shell
* Finding online software
* Working with files
* Playing with music and images
* Administering file systems
* Backing up data
* Checking and managing running processes
* Accessing network resources
* Handling remote system administration
* Locking down security

Скачать: book.pdf

admin Полезные книги BSD, freebsd, NetBSD, OpenBSD, UNIX

Оригинал: http://www.ctpahhuk.ru/content/view/45/52/

В статье рассматривается создание отказоустойчивого кластера для работы с биллинговой системой NetUP UTM на базе двух физических серверов. В качестве операционной системы используется FreeBSD. База данных mysql. Создание отказоустойчивого кластера для биллинговой системы на базе Gentoo Linux подробно рассматривается в соответствующей статье на сайте компании NetUP. [1]

Рисунок 1. Схема кластера.

Поскольку у меня объем трафика довольно большой, для избежания потерь данных о трафике, NetFlow поток передается и принимается в отдельной подсети и выделенных под это отдельных физических интерфейсах. Физические интерфейсы em0,em1 и em2 имеют общие IP-адреса по которым доступен кластер. В случае выходя из строя сервера, либо проблем на любом из этих трех интерфейсах, резервный сервер забирает на себя функции мастера и соответствующие IP-адреса назначаются его интерфейсам.

Данная система построена на базе протокола CARP (Common Address Redundancy Protocol — протокол избыточности общего адреса)[2]

Читать далее…

admin Администрирование Billing, CARP, Devd, mysql, netflow, UTM5, Кластер, репликация

Оригинал: http://dormestmass.blogspot.com/2007/08/df.html

В заголовке IP пакета имеется один интересный флаг -»don’t
fragment» или сокращенно DF. Назначение сего флага – запретить
разбивку пакета на фрагменты. Честно говоря, ситуации, когда
встречаются пакеты с этим флагом довольно редки, но они таки бывают и
могут надолго испортить настроение администратору/пользователю вот по
какой причине.

Различные технологии канального уровня предусматривают различный
размер MTU. И вполне естественно, что на пути следования трафика между
сервером и клиентом могут попадатся сегменты с разными размерами MTU.

На схеме ниже показана ситуация, когда клиент подключен к сети через
GRE-туннель, у которого размер MTU на 24 байта меньше, чем у
исходящего реального интерфейса. Клиент хочет произвести некий
обмен трафиком с удаленным сервером, а вот сервер выставляет этот
самый флаг на свои исходящие пакеты.

Происходит следующая ситуация. Во время установки TCP-сессии клиент и
сервер анонсируют свои максимальные размеры сегментов (maximum segment
size или MSS), показывая друг другу какие максимальные TCP сегменты
они могут принимать. После получения опций MSS устройства вычисляют
максимальный размер сегмента, который будет посылатся удаленной
стороне (Send Max Segment Size или SMSS). SMSS будет равен размеру
меньшего MSS. Процедура установки TCP MSS описана в RFC 879.
Читать далее…

admin Администрирование DF bit, MTU, TCP MSS, tcp/ip

Введение

Есть такая удобная штука как CDP ( Cisco Discovery Protocol ) – проприетарный протокол второго уровня модели OSI, разработанный компанией Сisco Systems, позволяющий обнаруживать подключенное (напрямую или через устройства первого уровня) сетевое оборудование Сisco, его название, версию IOS и IP-адреса.

Устройство посылает мультикаст анонс на MAC адрес 0100.0ccc.cccc. В конфигурации по-умолчанию анонсы рассылаются каждые 60 секунд на порты Ethernet, Frame Relay и ATM. Каждое устройство, понимающее протокол, сохраняет полученную информацию в таблице и позволяет посмотреть её по команде show cdp neighbours. Если устройство трижды не прислало анонс (при значениях по-умолчанию — 3 минуты), оно удаляется из таблицы. Возникло желание на оборудовании Cisco видеть, какие сервера FreeBSD и через какие сетевые карты подключены.
Практическая реализация Читать далее…

admin Без рубрики CDP, Cisco, freebsd

Уже несколько лет, посещая сайты хостеров, мы можем видеть предложения так называемых VPS (VDS). Но до сих пор у большинства понимание этой технологии поверхностное, а зачастую, даже ошибочное. В этой статье будет сделана попытка внести ясность и ответить на главные вопросы – что это такое? каким это бывает? и кому это нужно?

Прежде всего, давайте определимся – как мы это будем называть? Усилиями различных компаний, как разработчиков программного обеспечения, так и компаний, предлагающих эту услугу, было создано несколько названий по сути одного и того же. Итак, запомните, что:
VPS – Virtual Private Server (Виртуальный Собственный Сервер)
VDS – Virtual Dedicated Server (Виртуальный Выделенный Сервер)
DDS – Dynamic Dedicated Server (Динамический Выделенный Сервер)
на самом деле одно и то же и часто используется некоторыми компаниями для размежевания различных реализаций и предложений VPS.

Итак, что же это такое, VPS?

Если коротко – это разделение одного физического сервера на независимые друг от друга виртуальные сервера. Разделять можно как Unix, так и Windows системы. В чем же вся прелесть этого? В результате такого деления образуются самостоятельные выделенные сервера, физически размещенные на одном сервере. Итак,

• Каждый VPS имеет собственный дистрибутив операционной системы, в котором он имеет права уровня root (UID: 0) для Unix или Administrator для Windows , что позволяет компилировать, устанавливать собственное программное обеспечение с собственной конфигурацией.
• Каждый VPS может иметь один или несколько выделенных IP, через которые осуществляются входящие и исходящие соединения. Даже если на один VPS происходит DDOS атака, то на соседних это никак не отражается (надо заметить, что отражаться может, но по другим причинам, например, в случае, если общий канал к серверу узкий и пакеты атаки его полностью заполнят).
• Гарантированные минимальные ресурсы сервера. Вам никогда не скажут, что Вы расходуете больше ресурсов CPU или памяти, как это часто бывает на обычном виртуальном хостинге.
• Быстрая перезагрузка (ребут) виртуального сервера, возможность архивного копирования (бэкапа) VPS слепком всей системы.
• Большая стабильность в работе при более низкой стоимости.

Читать далее…

admin Виртуализация OpenVZ, vds, vdsmanager, Virtuozzo, vps

Farrokhi B.Network Administration with FreeBSD

Babak Farrokhi is an experienced UNIX system administrator and Network
Engineer who worked for 12 years in the IT industry in carrier-level network service
providers. He discovered FreeBSD around 1997 and since then he has been using it
on a daily basis. He is also an experienced Solaris administrator and has extensive
experience in TCP/IP networks.

Cкачать: book.pdf

admin Полезные книги and maintaining networks, Building, freebsd, FreeBSD 7, securing

Author(s): Randy Cook (Editor), Ido Dubrawsky, F. Williams Lynch, Ed Mitchell, Wyman Miles

ISBN(s): 192899444X

Publisher(s): Syngress, 2001

Two of Sun Solaris’s prime attractions are its reliability and the high availability of servers running it. These advantages can be, however, negated by carelessness. Forget to apply a patch, or neglect to synchronize your servers’ system clocks, and someone who’s paying more attention will exploit the holes you’ve left in your system. The authors of Hack Proofing Sun Solaris 8 teach you how to run Solaris with flair. They show you how to implement wise security rules and implement popular services–like Common Gateway Interface (CGI) scripts–with a focus on improving security without reducing function. Most of the advice here has to do with Solaris boxes as Web servers, mail servers, and firewalls.

A lot of the authors’ advice will be familiar to readers who have done security work before–their advice to disable all nonessential services, for example, falls into this category. Other information, such as the particular syntax of Solaris’s native security utilities and third-party programs that are designed for Solaris, is very handy. It’ll prove especially nice for people coming to Solaris from security administration on other operating systems. The organizational approach balances quick reference–the ability to quickly locate some detail via the index–with informative background that will help you head off emerging, undocumented attacks. There aren’t many earth-shaking revelations in this book, but it contains good documentation of Solaris security tools and procedures.

Topics covered: Sun Solaris 8 defensive policies and procedures. Native Solaris tools (like audit log) are documented, as are outside tools like Snort. There’s advice on setting user and file permissions, and hints on how to configure network services like HTTP, SMTP, DHCP, and network address translation (NAT) in a secure way. Caching with Squid gets attention, too.

Скачать: 192899444X.pdf 9.8 mb

admin Полезные книги Hacking, solaris, Sun