Unix,Cisco,TCP/IP,Security

Начнём с того, что методы, которыми можно получить несанкционированный доступ к серверам с целью пуска распределённой атаки , очень и очень разнообразны. Вообще не существует стандартизированного и общего метода защиты от данного класса атак, но с другой стороны, существует ряд мер по улучшению безопасности, который просто необходимо принять. Ниже следует их краткий список:

1) Не поддавайтесь панике. Прошлые атаки как правило были направлены на создание панической обстановке в связи с типом целей, на которые они были направлены. Очень важно понять, что только довольно малый список компаний и серверов должны всерьёз вопринимать возможность distributed DoS. В этот список входят популярные сайты, включающие развитые популярные поисковые машины, центры e-Commerce, крупные и популярные IRC-сервера или же новостные ленты. Иначе говоря, если Ваша любимая страница не имеет бболее 10000 посещений в день или же тысячного дневного оборота в случае, если это электронный магазин, Вам можно беспокоиться в меньшей степени.

2) Скоординируйте действия с Вашим Internet-провайдером. Очень важно, чтобы вы имели связь и поддержку со стороны тех, кто предоставляет Вам услуги хостинга. Общая пропускная спокобность каналов, задействованных в распределённой атаке так велика, то Ваша подсеть скорее всего не сможет выдержать нагрузки. Обязательно выясните у Вашего ISP, могут ли они примениьт род контроля, который ограничит суммарный объём входящего к Вам траффика, ссмогут ли они бороться уже на своих роутерах с огромным числом пакетов, имеющих поддельный (spoofed) обратный адрес. В идеальной ситуации, Ваш ISP должен предоставить Вам статистикуу или же дать доступ к роутерам в случае надвигающейся атаки.

3) Оптимизируйте структуру роутинга в вашей сети. Если у вас не один хост, но большая сеть, вам лучше произвести необходимую настройку роутеров чтобы минимизировать последствия DoS-атаки. Чтобы предотвратить SYN-флуд, обеспечьте надлежащую настройку Вашего файлвола (довольно подробную документацию самой компании СISCO, посвящённую этому вы можете так же прочитать на VOID.RU. Обеспечьте фильтрацию, к примеру, UDP, IGMP, ICMP-траффика (то есть тех протоколов, которые не являются необходимыми для нормального функционирования Вашей сети). Запретите ИСходящий ICMP-unreach траффик (таким траффиком Ваши хосты будут отвечать на ICMP-флуд).
Читать далее…

By Christopher Negus, Francois Caen
This handy, compact guide teaches you to use BSD UNIX systems as the experts do: from the command line. Try out more than 1,000 commands to find and get software, monitor system health and security, and access network resources. Apply the skills you learn from this book to use and administer servers and desktops running FreeBSD, OpenBSD, NetBSD, or any other BSD flavor.

Expand your BSD UNIX expertise in these and other areas:

* Using the shell
* Finding online software
* Working with files
* Playing with music and images
* Administering file systems
* Backing up data
* Checking and managing running processes
* Accessing network resources
* Handling remote system administration
* Locking down security

Скачать: book.pdf

Оригинал: http://www.ctpahhuk.ru/content/view/45/52/

В статье рассматривается создание отказоустойчивого кластера для работы с биллинговой системой NetUP UTM на базе двух физических серверов. В качестве операционной системы используется FreeBSD. База данных mysql. Создание отказоустойчивого кластера для биллинговой системы на базе Gentoo Linux подробно рассматривается в соответствующей статье на сайте компании NetUP. [1]

Рисунок 1. Схема кластера.

Поскольку у меня объем трафика довольно большой, для избежания потерь данных о трафике, NetFlow поток передается и принимается в отдельной подсети и выделенных под это отдельных физических интерфейсах. Физические интерфейсы em0,em1 и em2 имеют общие IP-адреса по которым доступен кластер. В случае выходя из строя сервера, либо проблем на любом из этих трех интерфейсах, резервный сервер забирает на себя функции мастера и соответствующие IP-адреса назначаются его интерфейсам.

Данная система построена на базе протокола CARP (Common Address Redundancy Protocol — протокол избыточности общего адреса)[2]

Читать далее…

Оригинал: http://dormestmass.blogspot.com/2007/08/df.html

В заголовке IP пакета имеется один интересный флаг -»don’t
fragment» или сокращенно DF. Назначение сего флага — запретить
разбивку пакета на фрагменты. Честно говоря, ситуации, когда
встречаются пакеты с этим флагом довольно редки, но они таки бывают и
могут надолго испортить настроение администратору/пользователю вот по
какой причине.

Различные технологии канального уровня предусматривают различный
размер MTU. И вполне естественно, что на пути следования трафика между
сервером и клиентом могут попадатся сегменты с разными размерами MTU.

На схеме ниже показана ситуация, когда клиент подключен к сети через
GRE-туннель, у которого размер MTU на 24 байта меньше, чем у
исходящего реального интерфейса. Клиент хочет произвести некий
обмен трафиком с удаленным сервером, а вот сервер выставляет этот
самый флаг на свои исходящие пакеты.

Происходит следующая ситуация. Во время установки TCP-сессии клиент и
сервер анонсируют свои максимальные размеры сегментов (maximum segment
size или MSS), показывая друг другу какие максимальные TCP сегменты
они могут принимать. После получения опций MSS устройства вычисляют
максимальный размер сегмента, который будет посылатся удаленной
стороне (Send Max Segment Size или SMSS). SMSS будет равен размеру
меньшего MSS. Процедура установки TCP MSS описана в RFC 879.
Читать далее…

Введение

Есть такая удобная штука как CDP ( Cisco Discovery Protocol ) — проприетарный протокол второго уровня модели OSI, разработанный компанией Сisco Systems, позволяющий обнаруживать подключенное (напрямую или через устройства первого уровня) сетевое оборудование Сisco, его название, версию IOS и IP-адреса.

Устройство посылает мультикаст анонс на MAC адрес 0100.0ccc.cccc. В конфигурации по-умолчанию анонсы рассылаются каждые 60 секунд на порты Ethernet, Frame Relay и ATM. Каждое устройство, понимающее протокол, сохраняет полученную информацию в таблице и позволяет посмотреть её по команде show cdp neighbours. Если устройство трижды не прислало анонс (при значениях по-умолчанию — 3 минуты), оно удаляется из таблицы. Возникло желание на оборудовании Cisco видеть, какие сервера FreeBSD и через какие сетевые карты подключены.
Практическая реализация Читать далее…

Уже несколько лет, посещая сайты хостеров, мы можем видеть предложения так называемых VPS (VDS). Но до сих пор у большинства понимание этой технологии поверхностное, а зачастую, даже ошибочное. В этой статье будет сделана попытка внести ясность и ответить на главные вопросы — что это такое? каким это бывает? и кому это нужно?

Прежде всего, давайте определимся — как мы это будем называть? Усилиями различных компаний, как разработчиков программного обеспечения, так и компаний, предлагающих эту услугу, было создано несколько названий по сути одного и того же. Итак, запомните, что:
VPS — Virtual Private Server (Виртуальный Собственный Сервер)
VDS — Virtual Dedicated Server (Виртуальный Выделенный Сервер)
DDS — Dynamic Dedicated Server (Динамический Выделенный Сервер)
на самом деле одно и то же и часто используется некоторыми компаниями для размежевания различных реализаций и предложений VPS.

Итак, что же это такое, VPS?

Если коротко — это разделение одного физического сервера на независимые друг от друга виртуальные сервера. Разделять можно как Unix, так и Windows системы. В чем же вся прелесть этого? В результате такого деления образуются самостоятельные выделенные сервера, физически размещенные на одном сервере. Итак,

• Каждый VPS имеет собственный дистрибутив операционной системы, в котором он имеет права уровня root (UID: 0) для Unix или Administrator для Windows , что позволяет компилировать, устанавливать собственное программное обеспечение с собственной конфигурацией.
• Каждый VPS может иметь один или несколько выделенных IP, через которые осуществляются входящие и исходящие соединения. Даже если на один VPS происходит DDOS атака, то на соседних это никак не отражается (надо заметить, что отражаться может, но по другим причинам, например, в случае, если общий канал к серверу узкий и пакеты атаки его полностью заполнят).
• Гарантированные минимальные ресурсы сервера. Вам никогда не скажут, что Вы расходуете больше ресурсов CPU или памяти, как это часто бывает на обычном виртуальном хостинге.
• Быстрая перезагрузка (ребут) виртуального сервера, возможность архивного копирования (бэкапа) VPS слепком всей системы.
• Большая стабильность в работе при более низкой стоимости.

Читать далее…

Farrokhi B.Network Administration with FreeBSD

Babak Farrokhi is an experienced UNIX system administrator and Network
Engineer who worked for 12 years in the IT industry in carrier-level network service
providers. He discovered FreeBSD around 1997 and since then he has been using it
on a daily basis. He is also an experienced Solaris administrator and has extensive
experience in TCP/IP networks.

Cкачать: book.pdf

Author(s): Randy Cook (Editor), Ido Dubrawsky, F. Williams Lynch, Ed Mitchell, Wyman Miles

ISBN(s): 192899444X

Publisher(s): Syngress, 2001

Two of Sun Solaris’s prime attractions are its reliability and the high availability of servers running it. These advantages can be, however, negated by carelessness. Forget to apply a patch, or neglect to synchronize your servers’ system clocks, and someone who’s paying more attention will exploit the holes you’ve left in your system. The authors of Hack Proofing Sun Solaris 8 teach you how to run Solaris with flair. They show you how to implement wise security rules and implement popular services—like Common Gateway Interface (CGI) scripts—with a focus on improving security without reducing function. Most of the advice here has to do with Solaris boxes as Web servers, mail servers, and firewalls.

A lot of the authors’ advice will be familiar to readers who have done security work before—their advice to disable all nonessential services, for example, falls into this category. Other information, such as the particular syntax of Solaris’s native security utilities and third-party programs that are designed for Solaris, is very handy. It’ll prove especially nice for people coming to Solaris from security administration on other operating systems. The organizational approach balances quick reference—the ability to quickly locate some detail via the index—with informative background that will help you head off emerging, undocumented attacks. There aren’t many earth-shaking revelations in this book, but it contains good documentation of Solaris security tools and procedures.

Topics covered: Sun Solaris 8 defensive policies and procedures. Native Solaris tools (like audit log) are documented, as are outside tools like Snort. There’s advice on setting user and file permissions, and hints on how to configure network services like HTTP, SMTP, DHCP, and network address translation (NAT) in a secure way. Caching with Squid gets attention, too.

Скачать: 192899444X.pdf 9.8 mb

1. Перегрузить маршрутизатор
2. Нажать Ctrl + Break в первые 20 секунд загрузки (возможно 40)
rommon>confreg 0×2142
rommon>i
router>en
router#copy start run
router#conf t
router(conf)#enable secret cisco
router(conf)#config-register 0×2102
router(conf)#int fa0/0
router(conf-if)#no shutdown
router(conf-if)#end
router#copy run start

Коммутаторы Catalyst серий 2900/2950/2960/3500/3550/

1. При нажатой кнопке выбора режима (mode) вставить шнур питания (Не отпускать кнопку, до тех пор, пока индикатор над портом 1, не будет гореть, как минимум 2 секунды)
2. ввести команду

flash_init

3. ввести команду

load_helper

4. переименовываем файл config.text

rename flash:config.text flash:config.old

1. продолжить процесс загрузки

boot

1. Отказываемся от входа в режим настройки
2. Переходим в пользовательский режим (Enter)
3. Переходим в привилегированный режим

enable

1. Возвращаем имя ранее переименованному файлу

rename flash:config.old flash:config.text

1. Загружаем в running-config конфигурационный файл

copy startup run

1. входим в конфигурационный режим

conf t

1. меняем пароль
2. сохраняем конфигурацию

copy run startup

[править] Восстановление IOS

rommon>IP_ADDRESS=
rommon>IP_SUBNET_MASK=
rommon>DEFAULT_GATEWAY=
rommon>TFTP_SERVER=
rommon>TFTP_FILE=c2600-ipbasek9-mz.124-13b.bin
rommon>set
rommon>tftpdnld
rommon>i

Ошибки доступа к памяти вызывающие нестабильную работу маршрутизаторов и зачастую приводят к самопроизвольным перезагрузкам роутера. Зачастую ошибки происходят, когда процессор пытается получить доступ к области памяти, которой не существует(программные ошибки — обычно вызваны из-за багов прошивки IOS) или области физической памяти не отвечающие корректно на запросы процессора(аппаратные ошибки) Ошибки шины данных(bus error), могут быть идентифицированы выводом команды show version и show technical−support. Важно чтобы после возникновения ошибки роутер не был перезгружен по питанию или командой reload.

При выполнении команды # show version

Router uptime is 2 days, 21 hours, 30 minutes
System restarted by bus error at PC 0x30EE546, address 0xBB4C4
System image file is «flash:igs−j−l.111−24.bin», booted via flash
………
Мы увидим в какой области памяти была зафиксирована ошибка.
Читать далее…