ACL Port List

ACL Continuous (range) /Discontinuous (list) Port Range Poate inca un motiv pentru care ACL Named este castigator. Test-Router(config)#ip access-list extended test-port-list Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 Test-Router(config-ext-nacl)#exit Test-Router(config)#ip access-list extended 2000 Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 % Multiple values are allowed on named ACLs only Test-Router#show ip access-lists test-port-list Extended IP access list test-port-list 10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 Test-Router(config)#ip access-list extended 2000 Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 range 12 20Read More →

By:
On:
In: > mini _
With: 0 Comments

ACL Resequence

“Best practice” spune ca primele linii dintr-un ACL sa fie acelea care sunt cel mai des validate de catre traficul  care tranziteaza interfata pe care acel ACL este aplicat. Atunci cand “best practice-ul” intern unui service provider impune filtrarea accesului per destinatie pentru fiecare client, devine destul de dificil de aproximat care intrare ACL va fi cel mai des validata. Poate totusi in aceste conditii devine interesant de tinut intrarile ACL ordonate dupa adresa IP destinatie pentru a facilita citirea acestora in cazul unui troubleshoot-ing. #show ip access-list 180 Extended IP access list 180 10 permit icmp any any 20 permit tcp any any establishedRead More →

By:
On:
In: > mini _, > tutoriale _
With: 1 Comment

VPN SSH

A trebuit recent sa am acces web la niste interfete aflate in spatele unui firewall care permite accesul decat de la unele clase IP. Nu am vrut sa folosesc/configurez o noua conexiune VPN explicit pentru asta, mi s-a parut complicat, iar adaugarea unei noi adrese IP in firewall parea procedural aproape imposibil. Am reusit sa obtin accesul folosind o conexiune SSH pe una din masinile din “interior”: laptop$ sudo ssh -q2CTN -D 8080 ionut@[Adresa IP] Browser-ul internet l-am configurat apoi sa foloseasca proxy SOCKS 127.0.0.1:8080.Read More →

By:
On:
In: > mini _
With: 0 Comments

Comanda "busy-message"

Consideram topologia de mai jos cu routerele R1, R2 si R3. Fiecare dintre cele trei routere are in RIB / FIB Loopback-ul celorlalte doua, iar pe R1 avem configurat host pentru R3: R1(config)# ip host R3 3.3.3.3 Daca fac telnet de pe R1 (sursa Loopback 0) pe R3 folosindu-ma de host-ul lui R3 (R1# telnet R3) si NU ma pot conecta din cauza ca: 1. toate “VTY lines” sunt ocupate 2. am configurat pentru VTY “(config-line)# access-class ACL in”, iar ACL-ul nu permite Loopback 0 al lui R1 3. am configurat un ACL direct pe interfata lui R3 (inbound) catre R2 care de asemenea nuRead More →

By:
On:
In: > mini _, > quiz _
With: 9 Comments

Despre STP (Spanning Tree Protocol)

De la inceput trebuie sa va spun ca nu sunt un mare fan al redundantei L2. Pentru mine e doar mai buna decat deloc si atat. Spanning tree-ul a evoluat cand a fost nevoie de instante diferite pe VLAN-uri diferite (vezi PVST+), si-a imbunatatit convergenta cand a definit noi BPDU-uri care standardizau “features” gen PortFast, UplinkFast, BackboneFast (vezi RSTP), a combinat PVST+ cu RSTP pentru a obtine ceva mai bun din amandoua (vezi RPVST+) si a avut grija sa fie interoperabil intre vendori diferiti ca sa multumeasca pe toata lumea (vezi MST). Cu toate astea, o varianta e prea lenta, una e cateodata prea riscanta,Read More →

By:
On:
In: > mini _, > quiz _
With: 1 Comment

VLAN Hopping

O metoda de segmentare logica la “layer 2” este aceea de a imparti o retea in mai multe VLAN-uri. In acest fel se pot izola si proteja anumite resurse din retea, pentru ca, intre doua VLAN-uri diferite, comunicarea se poate face in mod normal doar printr-un punct L3 (folosindu-ne de un router de exemplu). Fara a-mi propune pe acest blog sa promovez metode prin care se pot specula vulnerabilitati ale retelelor ci dimpotriva, o sa abordez un subiect despre care se stiu destul de putine lucruri. “VLAN hopping” este o metoda prin care poti trimite frame-uri intre doua vlanuri, evitand trecerea lor printr-un punct L3Read More →

By:
On:
In: > mini _
With: 3 Comments

Rootkits - prezentare, mod de functionare, detectie

In lumea elementelor software “malefice” pe langa binecunoscutele soft-uri tip virus sau worm se afla si mai putin cunoscutele dar din ce in ce mai intalnitele rootkit-uri. Un soft tip rootkit este in general un program ce reuseste printr-o vulnerabilitate a sistemului gazda sa capete drepturi depline pe un sistem, sistem pe care il modifica pentru a-i putea folosi resursele nedetectat. Rootkiturile sunt diferite fata de un virus, mai ales prin modalitatea de propagare: in general acestea sunt “implantate” de un atacator si nu sunt interesate de propagarea pe alt sistem. Ca si un virus, un rootkit va incerca sa pastreze sistemul sub controlul sau,Read More →

By:
On:
In: > mini _
With: 3 Comments

LFS - Linux from Scratch

O sursa excelenta pentru invatarea Linuxului pe care am folosit-o acum cativa ani si de la care am invatat multe este “distributia” Linux from Scratch. Spre deosebire de distributiile clasice, aceasta nu vine pe un CD (desi exista un LiveCD nu este piesa importanta a sistemului) si nici nu se instaleaza cu cateva clickuri ci este destinata celor ce vor sa afle cat mai multe detalii despre functionarea interna a unui SO Linux sau celor ce vor o personalizare maxima a distribuitiei lor (chiar mai mult decat permit alte distributii de acest gen, cum ar fi Gentoo). Instalarea si lucrul cu un Linux from ScratchRead More →

By:
On:
In: > mini _
With: 0 Comments

Autentificare IEEE 802.1x

O metoda de securitate L2 este ca pe fiecare port dintr-un switch in care avem conectat un client sa facem autentificare 802.1x. Pe scurt, PC-ul trimite mesaje EAP la switch incapsulate in frame-uri ethernet (EAP over LAN – Extensible Authentication Protocol) iar switchul le “translateaza” in mesaje RADIUS si le trimite catre serverul de autentificare (RADIUS). Odata ce PC-ul este autentificat, switchul face “enable” la port pentru a permite toate frame-urile de la PC. (config)# aaa new-model # activeaza global AAA (config)# aaa authentication dot1x default group radius # defineste metoda de autentificare RADIUS pentru dot1x (config)# dot1x system auth-control # activeaza global dot1x (config)#Read More →

By:
On:
In: > mini _
With: 0 Comments

Multicast & MPLS TE

Traficul multicast se forwardeaza tinandu-se cont de RPF pentru sursa fiecarui pachet. Asadar pachetul cu destinatie multicast este trimis mai departe doar daca a venit pe interfata pe care “se vede” sursa in tabela de rutare. Din acest motiv nu va fi trimis printr-un tunel MPLS TE (intotdeauna “one way”) ci printr-o interfata fizica (sau logica). Daca insa avem trafic multicast intr-o retea MPLS si tunele MPLS TE intre P-uri pe care avem activat “autoroute annnounce” (deci la folosim ca interfete logice in OSPF de exemplu), atunci vom avea o mare problema cauzata de RPF. Practic, traficul multicast va fi afectat in momentul in care “vedem” sursa in tabelaRead More →

By:
On:
In: > mini _
With: 0 Comments