Unix,Cisco,TCP/IP,Security

Оригинал: http://it-expert.com.ua/weblog/message/406/

Что же представляет собой netgraph?

Если в двух словах, то netgraph это как высокоуровневый Basic для
сетевых сервисов по сравнению с машинным кодом. Идеология netgraph
позволяет путем создания визуальных графов из «кубиков» протоколов,
портов и сервисов как бы строить взаимодействие сетевых компонентов
простым созданием связей между «кубиками». Читать далее…

Иван Скляров (www.sklyaroff.ru)

Сеть напоминает кровеносную систему, а движущиеся по ней пакеты сродни тромбоцитам, лейкоцитам и прочим клеткам крови. Однако не все, что плавает в крови, несет пользу. Периодически в кровь проникает зараза, которая стремится навредить или даже убить весь организм. Чтобы обнаружить и вовремя устранить заболевание, необходимо сдавать кровь на анализы. С аналогичной целью следует анализировать «сетевую кровь». Стандартным инструментом для такого анализа в *nix является утилита tcpdump.
Виртуозное владение опциями командной строки

Утилита tcpdump представляет собой сетевой анализатор пакетов, разработанный Lawrence Berkeley National Laboratory. Если tcpdump запустить без каких-либо параметров, она будет перехватывать все сетевые пакеты и выводить о них информацию. С помощью параметра ‘-i’ можно указать сетевой интерфейс, с которого следует принимать данные:

# tcpdump -i eth2
Читать далее…

Данная книга содержит важную для практического применения информацию об операционной системе маршрутизаторов Cisco — Internetwork Operating System (IOS). Программное обеспечение IOS предоставляет средства, с помощью которых сетевые профессионалы конфигурируют устройства Cisco и управляют ими. Понимание структуры команд Cisco IOS, а также осмысление того, что происходит внутри маршрутизатора, поможет вам как дизайнеру или администратору сети выполнять свою работу более эффективно. Знание внутренних принципов работы операционной системы IOS поможет вам учитывать тонкости аппаратной структуры необходимых устройств в процессе разработки сети, а также облегчит поиск и устранение неисправностей в будущем. В данной книге изложена вся необходимая информация о внутренней структуре ОС IOS.

Эта книга начинается с обзора основных концепций операционных систем и рассмотрения инфраструктуры ОС IOS: процессов, управления памятью, планировщика задач, буферов пакетов и драйверов устройств. Затем более подробно рассматриваются различные аппаратно-зависимые методы коммутации: программная коммутация, быстрая коммутация, оптимальная коммутация и протокол Cisco Express Forwarding (CEF). Вы также познакомитесь с особенностями аппаратной реализации и принципов работы различных платформ, а именно устройств серий 1600, 2500, 4×00, 3600, 7200,7500 и маршрутизаторов серии Cisco GSR. Завершает книгу описание технологий QoS, а также информация о различных методах реализации качества обслуживания: приоритетная очередность, взвешенная справедливая очередность, метод настраиваемой очереди и механизм циклически изменяемого дефицита.
- Предотвратите возникновение проблем в сети и оптимизируйте ее производительность за счет более рационального дизайна и конфигурирования
- Изолируйте и решите проблему в сети наиболее быстрым и эффективным способом
- Примените наиболее подходящий в вашей сети метод коммутации пакетов: программная коммутация, быстрая коммутация, оптимальная коммутация и CEF
- Изучите особенности аппаратной структуры, буферизации пакетов и методов коммутации пакетов в маршрутизаторах с разделяемой памятью (устройства Cisco серий 1600, 2500, 3600, 4000, 4500. 4700)
- Изучите особенности аппаратной структуры, буферизации пакетов и методов коммутации пакетов в маршрутизаторах Cisco серии 7200
- Изучите особенности аппаратной структуры, структуры карт VIP и методов коммутации пакетов в маршрутизаторах Cisco серии 7500
- Изучите особенности аппаратной структуры, буферизации пакетов и методов коммутации пакетов в маршрутизаторах Cisco серии GSR 7200
- Расширьте свои познания о методах реализации технологии качества обслуживания (QoS) ОС IOS

Данная книга входит в серию Cisco CCIE Professional Development, которая дает профессионалам цепную информацию для построения реально действующих сетей, понимания новых технологий и успешного управления сетями любой сложности, а также помашет подготовиться к сдаче сертификационного экзамена CCIE.

Программа CCIE и Cisco Press

Усилия корпорации Cisco по подготовке компетентных специалистов для сетевых операционных центров (NOC) и профессионалов в области информационных технологий (ИТ) воплощены в рамках программы Cisco Certified Internetwork Expert (CCIE). В целях развития данной программы Cisco Press активно сотрудничает с руководством программы CCIE в области создания информационных продуктов, которые бы помогли расширению и углублению знаний специалистов в области ИТ, а также предоставили самую свежую и точную информацию о современных технологиях, знание которых необходимо для профессионалов CCIE.
Издания серии CCIE Professional Development основаны на базовых принципах программы CCIE. Данная серия состоит из книг описывающих специфические технологии, которые необходимы как для тех кто планирует получить сертификат CCIE, так и для профессионалов в области ИТ.

Скачать: Struktura.operatsionnoi.sistemy.Cisco.IOS.rar

Брайан Хилл

Эта книга позволяет достичь полного понимания технологий Cisco, чаще всего применяемых в сетях основных типов. Без этого невозможно выполнять настройку конфигурации, проектировать и устранять нарушения в работе сетей самых различных типов, созданных на основе продуктов Cisco. В ней подробно рассматриваются протоколы локальной и распределенной сети, а также наборы протоколов общего назначения, в том числе TCP/IP.

В книге дано описание большинства существующих в настоящее время сетевых продуктов Cisco и приведены справочные таблицы с краткими сведениями о характеристиках устройств. Описаны технологии коммутации Cisco, применяемые в локальной сети, раскрыты такие темы, как настройка конфигурации виртуальной локальной сети, применение алгоритма STP и метода MLS, принципы организации очередей и средства коммутации SLB. Рассматриваются все главные внутренние маршрутизирующие протоколы, включая RIP, EIGRP и OSPF. Представлены 540 команд IOS, применяемых почти на любом устройстве Cisco

Скачать: Polnyy_spravochnik_po_Cisco._Brayan_Hill_.part1.rar 95.8M
Polnyy_spravochnik_po_Cisco._Brayan_Hill_.part2.rar 44.8M

Сегодня вышла новая версия ядра Linux — 2.6.29, как обычно включающая множество новшеств и улучшений.

Основные изменения:

* Файловые системы

1. Новая экспериментальная файловая система Btrfs

2. Read-only файловая система SquashFS включена в ядро (сжатие по алгоритму LZMA пока не поддерживается)

3. OCFS2 теперь поддерживает ACL, атрибуты безопасности, квоты и проверку целостности метаданных

4. Возможность «замораживать» файловую систему (например для снятия резервной копии)

5. Множество небольших улучшений ext4, в том числе

1. Добавлена опция, позволяющая выключить журналирование (при этом производительность становится выше даже чем у ext2)

2. В документацию добавлена информация о барьерах записи

3. Исправлены многие ошибки и улучшена производительность

* Графическая подсистема

1. Механизм смены видеорежимов средствами ядра — Kernel-based mode setting (KMS)

2. Улучшения в Graphics Execution Manager (GEM)

* Множество улучшений в управлении питанием (в т.ч. новые драйвера для различных моделей ноутбуков)

* Сеть

1. Стек mac80211 готов к поддержке режима точки доступа (для работы требуется hostapd)

2. Поддержка стека WiMAX, а так же драйверов для USB/SDIO карт Intel Wireless WiMAX/Wi-Fi Link 5×50

3. Поддержка инфраструктуры Generic Receive Offload (GRO) для драйверов LAN

* Аудио

1. Драйвер для кодеков HD Audio разделён на несколько частей (для различных вариантов кодека от разных производителей), теперь конкретная версия кодека должна определяться автоматически

2. Поддержка вывода аудио через HDMI на чипсетах от Intel и NVidia

3. Множество новых драйверов для вывода звука в «системах на кристалле» (System on Chip — SoC)

4. Управление питанием для AC97 и HD Audio

* Tux — толстый пингвин с утиным клювом — временно уступил пост официального талисмана Tuz’у — тасманскому дьяволу (только на один релиз)

Полный список изменений (а их очень много и они затрагивают почти все подсистемы ядра) можно прочитать здесь.

Увеличиваем максимальный размер памяти отводимой для TCP буферов:
(16Мб на порядок больше, чем нужно, следует экспериментальным путем подобрать
оптимальные значения, понеменогу увеличивая параметры заданные по умолчанию)

sysctl -w net.core.rmem_max = 16777216
sysctl -w net.core.wmem_max = 16777216

Увеличиваем лимиты автотюнинга (min, default, max bytes)

sysctl -w net.ipv4.tcp_rmem = «4096 87380 16777216″
sysctl -w net.ipv4.tcp_wmem = «4096 65536 16777216″

Увеличиваем размер очереди пакетов на сетевом интерфейсе, особенно полезно для Gigabit Ethernet:

ifconfig eth0 txqueuelen 1000

Особенности Linux ядра 2.4.x:
Для предотвращения особенности при уменьшении размера окна, из-за повторов передеачи пакетов,
для одного соединения, уменьшать на 10 минут размер окна для всех остальных соединений к тому же хосту:

sysctl -w net.ipv4.route.flush=1

Особенности Linux ядра 2.6.x:

Запрещаем кеширование статуса ssthresh (были ретрансмиты) для других соединений

sysctl -w net.ipv4.tcp_no_metrics_save = 1

Рекомендуется увеличить размер backlog до 1000 или выше
(для 10Gb линка можно поставить 30000):

sysctl -w net.core.netdev_max_backlog = 2500

Начиная с ядра 2.6.13 можно менять алгоритм обработки ситуации перегрузки:

sysctl -w net.ipv4.tcp_congestion_control=htcp
reno: традиционный TCP
bic: BIC-TCP (для высокоскоростных сетей, быстрое восстановление после потери)
highspeed: HighSpeed TCP: Sally Floyd’s suggested algorithm
htcp: Hamilton TCP (для высокоскоростных сетей)
hybla: для спутниковых линков
scalable: Scalable TCP
vegas: TCP Vegas
westwood: для сетей с большой потерей пакетов
Когда стандартный reno не устраивает рекомендуется попробовать bic или htcp.

Значения параметров тюнинга подробно описаны в документе ip-sysctl.txt в комплекте ядра:

http://www-didc.lbl.gov/TCP-tuning/ip-sysctl-2.6.txt

Author(s): Paul Watters
ISBN(s): 0071466576, 0072229985
Publisher(s): McGraw-Hill/Osborne, 2005

Maximize all the capabilities of Sun Microsystems’ FREE, innovative, and powerful UNIX-based operating system with help from this authoritative guide. Get full details on installation, process and device management, access control and security, networking, services, directories, and applications. You’ll learn to take advantage of the new features available in Solaris 10, including the rewritten TCP/IP stack, the enhanced cryptographic framework, cross-platform optimization, Linux interoperability, and much more. Whether you’re new to Solaris or migrating from Linux or Windows, you’ll need this comprehensive resource.
- Install and run Solaris 10 on UltraSPARC or Intel systems
- Manage files, directories, and processes, and use shell commands
- Set up user- and role-based access control
- Use the Solaris Management Console (SMC) to manage users and groups
- Configure devices and file systems
- Implement efficient backup and recovery services
- Enable system logging, monitoring, accounting, and tuning
- Configure DHCP, firewalls, and remote access
- Work with DNS, NIS/NIS+, and LDAP
- Enable shared file systems and printers using Samba and/or NFS
- Use Sun Java System Application Server and Apache HTTP Server

Скачать: Solaris10.pdf

Черные дыры.

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
Это превращает машину в черную дыру при попытке подключиться к портам,
которые не слушают. Nmap по настоящему не любит это.

Защита очереди сокета от SYN атак.

Основной из самых популярных атак остается SYN флуд, при которой
очередь сокета атакуемого хоста переполняется некорректными попытками
соединений. Для защиты от таких атак некоторые из UNIX поддерживают
отдельные очереди для входящих запросов на соединение. Одна очередь
для полуоткрытых сокетов (SYN получен, SYN|ACK послан), другая очередь
для полностью открытых сокетов, ждущих вызова accept() от программы.
Эти две очереди должны быть увеличены, чтобы атаки малой и средней
интенсивности почти не влияли на стабильность и доступность сервера.
kern.ipc.somaxconn=1024

Редиректы (Перенаправления)

Атакующий может использовать IP redirect для изменения таблицы
марщрутизации на удаленном хосте. В хорошо разработанной сети
редиректы на конечные станции не должны требоваться. Оба — отправка и
принятие редиректов должны быть отключены.
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
Читать далее…

Оригинал: http://debian.telenet.ru/doc/sysctl.conf

> net.ipv4.conf.default.forwarding=1

Включение форвардинга пакетов. Иными словами, необходимо разрешить ядру
операционной системы осущетсвлять проброс трафика с одного интерфейса на
другой.

> fs.file-max = 64000

Максимальное значение открытых файлов. Что бы его узнать, выполните
команду cat /proc/sys/fs/file-max

> net.ipv4.conf.all.rp_filter = 1

Эта переменная сообщает ядру о необходимости фильтрации пакетов по их исходящему адресу.

> kernel.sysrq = 0

Отключается комбинация клавиш sysrq, которая используется при крахе
системы.

> net.ipv4.conf.default.rp_filter=1

Фильтр обратного пути (когда пакет приходит с одного интерфейса, а
уходит на другой)

> net.ipv4.conf.all.accept_source_route = 0

Маршрутизация от источника (source routing) позволяет отправителю
определить путь, по которому пакет должен пройти по сети Internet, чтобы
достигнуть пункта назначения. Это очень удобно для изучения и отладки
работы сети, но нарушитель получает возможность подмены адресов
компьютеров локальной сети. 0 означает, что маршрутизация отключена, 1 -
наоборот.

> net.ipv4.tcp_syncookies=1

Разрешает/запрещает передачу так называемых syncookies вызывающему хосту
в случае переполнения очереди SYN-пакетов для заданного сокета. Когда в
систему поступает слишком много запросов на соединение, то очередь может
переполниться и тогда запускается передача syncookies в ответ на каждый
SYN-запрос. Эта переменная используется для предотвращения syn-flood
атак. Переменная может принимать два значения 0 (выключено) и 1
(включено). Значение по-умолчанию 0 (выключено). Эта функция будет
работать только в том случае, если ядро собрано с опцией
CONFIG_SYN_COOKIES.
Читать далее…

UNIX IP Stack Tuning Guide v2.7

http://www.cymru.com/Documents/ip-stack-tuning.html

By Rob Thomas

Introduction

The purpose of this document is to strengthen the UNIX IP stack
against a variety of attack types prevalent on the Internet today.
This document details the settings recommended for UNIX servers
designed to provide network intensive services such as HTTP or routing
(firewall services). This document covers the following UNIX variants:

A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 and RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10

  Читать далее…