Autentificare IEEE 802.1x

O metoda de securitate L2 este ca pe fiecare port dintr-un switch in care avem conectat un client sa facem autentificare 802.1x. Pe scurt, PC-ul trimite mesaje EAP la switch incapsulate in frame-uri ethernet (EAP over LAN – Extensible Authentication Protocol) iar switchul le “translateaza” in mesaje RADIUS si le trimite catre serverul de autentificare (RADIUS). Odata ce PC-ul este autentificat, switchul face “enable” la port pentru a permite toate frame-urile de la PC. (config)# aaa new-model # activeaza global AAA (config)# aaa authentication dot1x default group radius # defineste metoda de autentificare RADIUS pentru dot1x (config)# dot1x system auth-control # activeaza global dot1x (config)#Read More →

By:
On:
In: > mini _
With: 0 Comments

DHCP Snooping

Deseori intr-o retea in care folosim alocare dinamica de ip-uri avem parte de atacuri de tip “man-in-the-middle” care se folosesc de “slabiciunile” protocolului DHCP. Practic unul din hosturile din acelasi domeniu de broadcast cu tine, poate face in asa fel incat tot traficul tau legitim (upload) sa treaca mai intai pe la el (vezi poza de mai jos) Pentru a preveni acest tip de atacuri (si nu numai) putem activa pe un switch “DHCP Spooping”. Poate fi activat independent de orice alt “feature” DHCP insa in momentul in care se activeaza toate comenzile legate de “ip dhcp relay information” vor fi dezactivate. Pentru a functionaRead More →

By:
On:
In: > tutoriale _
With: 4 Comments

Dynamic ARP Inspection

Desi ARP gratuit se foloseste cu un scop nobil de cele mai multe ori, (vezi articolul ARP gratuit (Gratuitous ARP)) exista cazuri in care un ARP reply gratuit “fabricat” inlesneste atacuri de tip “man-in-the-middle” (vezi poza de mai jos). Pentru a preveni acest tip de atacuri putem activa pe un switch “D.A.I. / Dynamic ARP Inspection”: Daca IP-ul sursa dintr-un ARP reply venit pe portul X nu se afla in lista de IP-uri asignate de catre DHCP pe acel port, ARP-ul e filtrat (trebuie sa avem activat si DHCP snooping). Daca IP-ul sursa dintr-un ARP reply venit pe portul X nu se afla in listaRead More →

By:
On:
In: > tutoriale _
With: 0 Comments

Multicast & MPLS TE

Traficul multicast se forwardeaza tinandu-se cont de RPF pentru sursa fiecarui pachet. Asadar pachetul cu destinatie multicast este trimis mai departe doar daca a venit pe interfata pe care “se vede” sursa in tabela de rutare. Din acest motiv nu va fi trimis printr-un tunel MPLS TE (intotdeauna “one way”) ci printr-o interfata fizica (sau logica). Daca insa avem trafic multicast intr-o retea MPLS si tunele MPLS TE intre P-uri pe care avem activat “autoroute annnounce” (deci la folosim ca interfete logice in OSPF de exemplu), atunci vom avea o mare problema cauzata de RPF. Practic, traficul multicast va fi afectat in momentul in care “vedem” sursa in tabelaRead More →

By:
On:
In: > mini _
With: 0 Comments

Wireless 802.11n

Prima tehnologie importanta ce a permis comunicatia wireless intre calculatoare a fost fara doar si poate 802.11b, standard ce a aparut in octombrie 1999! Au mai existat bineinteles tehnologii wireless pentru transmisii date in retelele de calculatoare si inainte, dar acest standard, impreuna eventual cu 802.11g, au fost standardele care au adus retelele wireless in zona mainstream. Va reamintim ca standardul 802.11b permitea o viteza maxima la nivel fizic de 11 Mbps (tradusa in aproximativ 5 Mbps user goodput datorita overheadului constituit din headere precum si a modului de lucru a protocolului CSMA/CA complicat de problemele clasice ale comunicarii wireless). Ulterior a aparut standardul 802.11aRead More →

By:
On:
In: > tehnologii _
With: 1 Comment

MPLS TE Protection sau FRR (fast reroute)

FRR (fast reroute) este dupa parerea mea cel mai uzitat “feature” de MPLS traffic-engineering. Cand vine vorba de a implementa MPLS TE, toti marii provideri de internet (tier 1 sau 2) se rezuma la FRR deoarece, in cele mai multe dintre cazuri, un “full-mesh” de tunele MPLS configurat cu “bandwith reservation” pentru optimizari de banda creaza mari probleme datorita complexitatii.  Asadar, daca avem o retea MPLS si ne dorim convergenta foarte buna in cazul in care pica un nod sau un link, recomand implementarea FRR. Sunt intrebat destul de frecvent doua lucruri legate de FRR: 1. De ce nu ne putem baza doar pe convergentaRead More →

By:
On:
In: > tutoriale _
With: 0 Comments

ARP gratuit (Gratuitous ARP)

Unul din cele mai importante documente RFC (Request for Comments) din istoria retelelor de calculatoare incepe cu fraza “lumea este o jungla in general si retelistica contribuie si ea cu multe animale”. Este vorba de RFC826 ajuns Standard Internet (37). Acesta analizeaza protocolul ARP, folosit pentru “conversia” unei adrese Layer 3 (IP de exemplu) intr-o adresa Layer 2 (MAC de exemplu). In acest articol insa nu ma voi axa pe protocolul ARP, ci pe o facilitate mai putin cunoscuta a lui care poate ridica semne de intrebare in momentul in care este intalnita: ARP-ul gratuit. V-ati intrebat cum de Windows va anunta de adrese IPRead More →

By:
On:
In: > mini _
With: 1 Comment

Cum sa retii nivelele OSI

O metoda simpla de a tine minte ordinea nivelelor OSI ar fi folosirea unor mnemonici de genul “Please Do Not Throw Salami Pizza Away” sau, daca vreti ordinea inversa “All People Seem To Need Data Processing”. Astfel, retinand aceste propozitii, vom folosi initialele pentru a sorta repede in memorie nivelele OSI: 7. Application 6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Exista o astfel de constructie si pentru a memora ordinea PDU-urilor care apar in relatie cu nivelele OSI (data, segment, packet, frame, bits), una chiar destul de haioasa dealtfel: “Don’t Shoot People For Beer”Read More →

By:
On:
In: > mini _
With: 0 Comments

Despre "soft-reconfiguration inbound"

De foarte multe ori in networking, anumite comenzi adaugate in IOS pentru a ne ajuta si a ne face viata mai usoara, ne creeaza cele mai mari probleme. Intr-un top personal al celor mai “nocive” comenzi de BGP conduce detasat “neighbor x.x.x.x soft-reconfiguration inbound“. Teoretic, comanda asta ne-ar putea folosi in momentul in care dorim sa vedem toate rutele primite de la un peer BGP inainte de a aplica filtrele noastre “inbound” pe sesiunea cu el. De  asemenea ne permite modificarea filtrelor noastre si generarea de update-uri de la un neighbor fara a resetata sesiunea BGP (“clear ip bgp x.x.x.x soft in“). In practica insa,Read More →

By:
On:
In: > mini _
With: 1 Comment